‫جميع الحقوق الفكرية وحقوق الطبع والنشر محفوظة للمجلس األعلى لألمن الوطني ‪ /‬الهيئة الوطنية إلدارة الطوارئ

واألزمات والكوارث‬
 ‫صاحب السمو الشيخ‬
‫خليفة بن زايد آل نهيان‬
‫رئيس دولة االمارات العربية املتحدة‬
‫رئيس املجلس األعىل لألمن الوطني‬
 ‫صاحب السمو الشيخ‬
‫محمد بن راشد آل مكتوم‬
‫نائب رئيس الدولة رئيس مجلس الوزراء ‪ -‬حاكم ديب‬
‫نائب رئيس املجلس األعىل لألمن الوطني‬
 ‫الفريق أول سمو الشيخ‬
‫محمد بن زايد آل نهيان‬
‫ويل عهد أبوظبي ‪ -‬نائب القائد األعىل للقوات املسلحة‬
‫عضو املجلس األعىل لألمن الوطني‬
 ‫سمو الشيخ‬
‫هزاع بن زايد آل نهيان‬
‫مستشار األمن الوطني‬
‫رئيس مجلس إدارة الهيئة الوطنية إلدارة الطوارئ واألزمات والكوارث‬
 ‫دولة اإلمارات العربية المتحدة‬
‫المجلس األعلى لألمن الوطني‬
‫الهيئة الوطنية إلدارة الطوارئ واألزمات والكوارث‬

‫إدارة اســتمرارية األعـمـــال‬

‫المعيـــار والدليــل اإلرشـادي‬
‫‪AE / HSC / 7000:2012‬‬
‫اإلصدار (‪)1‬‬
 ‫مفتاح االستخدام‬

‫إن هذا الكتاب هو معيار قياس لبناء مقدرة المؤسسة على االستمرار في أداء مهامها‪ ،‬أو خدماتها األساسية‪،‬‬
‫خالل أي طارئ يؤ ّدي إلى إرباك أو توقّف العمل لديها‪.‬‬

‫يشتمل الجزء األول على المواصفات‪ ،‬ويب ِّين جميع األجزاء والعناصر المه َّمة في البرنامج‪ ،‬حيث يشرح «ما هي»‬
‫مك ِّونات هذا البرنامج‪.‬‬

‫ويفسر الجزء الثاني «كيف» يتم عمل العناصر المذكورة في الجزء األول‪ ،‬بطريقة واضحة‪ ،‬وتت ّم االستعانة بالجزء‬
‫ِّ‬
‫الثاني‪ ،‬كما جاءت في الجزء األول‪ ،‬وبالتسلسل نفسه‪ ،‬حيث – على سبيل المثال‪ :‬الفقرة ‪ 1-2-8‬في الجزء األول‪،‬‬
‫تقابلها الفقرة أ‪ 1-2-8-‬في الجزء الثاني‪ ،‬وهكذا‪...‬‬

‫ويُعنى الجزء الثالث بالنماذج‪ .‬وقد قُمنا بإدراج نموذج واحد لخطة استمرارية األعمال‪ ،‬كمثال‪ ،‬تُمكن االستعانة‬
‫به‪ .‬وفي المستقبل‪ ،‬عند إصدار التحديثات‪ ،‬سوف نقوم بوضع نماذج أخرى ُمسا ِعدة‪.‬‬

‫ال يتعارض هذا المعيار مع أية وثيقة أخرى‪ ،‬صدرت عن الهيئة الوطنية إلدارة الطوارئ واألزمات‬
‫والكوارث‪ .‬وفي حال وجود أي تعارض‪ُ ،‬يرجى الرجوع إلى الوثائق المعنية‪ ،‬واألخ ْذ بها‪ ،‬حيث‬
‫خصصان إلدارة استمرارية األعمال فقط‪ .‬وتعتبر هذه‬ ‫أن «المعيار» و«الدليل اإلرشادي» هذا‪ُ ،‬م ّ‬
‫الوثيقة «معيارا ً» إلدارة استمرارية األعمال‪.‬‬

‫‪12‬‬
 ‫تمهيد‬

‫استغرق إعداد هذا المعيار وإصداره‪ ،‬نحو عام ونصف من العمل المتواصل‪ ،‬حيث تم البدء في المشروع مع‬
‫بداية شهر سبتمبر ‪ ،2009‬وقد ساهم فيه الكثير من المؤسسات والشركات وبيوت الخبرة العالمية‪ ،‬إلى جانب‬
‫المختصين العالميين‪ ،‬بقيادة وإشراف الهيئة الوطنية إلدارة الطوارئ واألزمات والكوارث‪ ،‬التي تعمل‬
‫ِّ‬ ‫عدد من‬
‫تحت مظلة المجلس األعلى لألمن الوطني‪.‬‬
‫الجهات المشاركة في اإلعداد‪:‬‬
‫الهيئة الوطنية إلدارة الطوارئ واألزمات والكوارث‬
‫المجلس التنفيذي إلمارة أبوظبي‬
‫هيئة أبوظبي للمحاسبة‬
‫مركز أبوظبي للمعلومات‬
‫خبراء أجانب متعاقدون‬
‫التخصصية‪:‬‬
‫ُّ‬ ‫الجهات المشاركة في المراجعة‬
‫معهد المعايير البريطاني‬
‫معهد استمرارية األعمال البريطاني ( ‪) BCI‬‬
‫معهد التعافي من الكوارث العالمي ( ‪) DRII‬‬
‫شركة االستشارات الفنية البلجيكية أسكيور (‪)ASCUR‬‬
‫ستيلهنج لالستشارات ( ‪) STEELHENGE‬‬
‫الجهات المشاركة في المراجعة الفنية بإشراف مكتب سمو نائب القائد األعلى للقوات المسلحة‪:‬‬

‫الهيئة العامة لتنظيم االتصاالت‬ ‫مكتب رئيس أركان القوات المسلحة‬

‫الهيئة االتحادية للكهرباء والمياه‬ ‫وزارة الداخلية‬
‫غرفة التجارة والصناعة‬ ‫وزارة الخارجية‬
‫الهيئة االتحادية للرقابة النووية‬ ‫جهاز أمن الدولة‬
‫المجلس األعلى للبترول‬ ‫وزارة الصحة‬
‫المجلس الوطني لإلعالم‬ ‫وزارة المواصالت‬
‫الهيئة االتحادية للجمارك‬ ‫وزارة العمل‬
‫مصرف اإلمارات العربية المتحدة المركزي‬ ‫وزارة الطاقة‬
‫الهيئة العامة للمعلومات‬ ‫وزارة االقتصاد‬
‫الهيئة العامة للطيران المدني‬
‫هيئة األوراق المالية والسلع‬

‫‪13‬‬
 ‫الفهرس‬

‫‪13‬‬ ‫ ‬
‫تمهيد‬
‫‪18‬‬ ‫ ‬
‫كلمة سمو مستشار األمن الوطني‬
‫‪20‬‬ ‫ ‬
‫مفتاح االستخدام‬
‫‪21‬‬ ‫ ‬
‫المقدمة‬
‫‪23‬‬ ‫ ‬‫الجزء األول‪ :‬المواصفات‬
‫‪24‬‬ ‫ ‬‫‪ :1‬مقدمة‬
‫‪24‬‬ ‫ ‬
‫‪ 1-1‬الغرض‬
‫‪24‬‬ ‫ ‬
‫‪ 2-1‬المسؤوليات‬
‫‪24‬‬ ‫ ‬
‫‪ 3-1‬التسلسل الهرمي للخطط والسلطات‬
‫‪ 25‬‬ ‫ ‬
‫‪ :2‬مستوى المسؤوليات‬
‫‪25‬‬ ‫ ‬‫‪ :3‬االلتزام‬
‫‪25‬‬ ‫ ‬‫‪ 1-3‬التكليف بالسلطة‬
‫‪26‬‬ ‫ ‬
‫‪ 2-3‬الضوابط المحددة بواسطة الجهات التشريعية‬
‫‪26‬‬ ‫‪ :4‬إمكانية التطبيق ‬
‫‪26‬‬ ‫ ‬‫‪ :5‬النطاق‬
‫‪26‬‬ ‫ ‬
‫‪ 1-5‬نطاق المعيار‬
‫‪26‬‬ ‫ ‬‫‪ 2-5‬نطاق مقدرة المؤسسة على استمرارية الخدمات والمهام فيها‬
‫‪27‬‬ ‫ ‬‫‪ :6‬متطلبات معيار إدارة استمرارية األعمال‬
‫‪27‬‬ ‫ ‬
‫‪ 1-6‬المتطلبات‬
‫‪27‬‬ ‫ ‬
‫‪ 2-6‬االحتياجات المطلوبة لتحديد ‘‘ المقدرة المناسبة على االستمرارية باألعمال‘‘‬
‫‪28‬‬ ‫ ‬‫‪ :7‬وثائق وسجالت إدارة استمرارية األعمال‬
‫‪28‬‬ ‫ ‬‫‪ 1-7‬الوثائق المطلوبة‬
‫‪28‬‬ ‫ ‬
‫‪ 2-7‬السيطرة على الوثائق والسجالت الخاصة بإدارة استمرارية األعمال‬
‫‪29‬‬ ‫ ‬‫‪ 1-2-7‬سمات الوثائق والسجالت‬
‫‪29‬‬ ‫ ‬
‫‪ :8‬وضع برنامج استمرارية األعمال‬
‫‪29‬‬ ‫ ‬
‫‪ 1-8‬وضع برنامج استمرارية األعمال‬
‫‪29‬‬ ‫ ‬
‫‪ 2-8‬مشاركة اإلدارة العليا‬
‫‪29‬‬ ‫ ‬
‫‪ 3-8‬تحليل التأثير على األعمال (‪)BIA‬‬

‫‪14‬‬
 ‫‪29‬‬ ‫ ‬
‫‪ 4-8‬توثيق التحليل الخاص بالتأثير على األعمال‬
‫‪30‬‬ ‫ ‬‫‪ 5-8‬تقييم المخاطر‬
‫‪30‬‬ ‫‪ 6-8‬استراتيجية إدارة المخاطر ‬
‫‪31‬‬ ‫ ‬
‫‪ 7-8‬استراتيجية إدارة استمرارية األعمال‬
‫‪31‬‬ ‫ ‬
‫‪ 8-8‬خطة إدارة استمرارية األعمال‬
‫‪32‬‬ ‫ ‬
‫‪ 9-8‬التثقيف والتدريب‬
‫‪33‬‬ ‫ ‬
‫‪ 10-8‬االختبارات والتمرين‬
‫‪34‬‬ ‫ ‬
‫‪ 11-8‬التطوير المستمر إلدارة استمرارية األعمال‬
‫‪36‬‬ ‫ ‬
‫‪ :9‬تقييم وقياس إدارة استمرارية األعمال‬
‫‪36‬‬ ‫ ‬
‫‪ 1-9‬التدقيق السنوي إلدارة استمرارية األعمال‬
‫‪37‬‬ ‫ ‬‫‪ 2-9‬مراجعة المو ِّردين األساسيين‬
‫‪37‬‬ ‫ ‬
‫‪ 3-9‬مراجعة العمالء والغير‬
‫‪37‬‬ ‫ ‬
‫‪ 4 -9‬المراجعة بعد الطارئ أو األزمة أو الكارثة‬
‫‪37‬‬ ‫ ‬
‫‪ 5-9‬التقرير السنوي لتقييم إدارة استمرارية األعمال‬
‫‪37‬‬ ‫‪ :10‬مراجعة اإلدارة ‬
‫‪37‬‬ ‫ ‬
‫‪ 1-10‬المراجعة اإلدارية لبرنامج استمرارية األعمال‬
‫‪38‬‬ ‫ ‬
‫‪ 2-10‬توثيق مراجعة اإلدارة‬
‫‪38‬‬ ‫ ‬
‫‪ 3-10‬النقاط التي يجب االطالع عليها خالل المراجعة اإلدارية‬
‫‪38‬‬ ‫ ‬
‫‪ 4-10‬نتائج المراجعة اإلدارية‬

‫‪39‬‬ ‫ ‬
‫الجزء الثاني‪ :‬الدليل اإلرشادي‬
‫‪40‬‬ ‫ ‬
‫أ‪ 1-‬مقدمة‬
‫‪40‬‬ ‫ ‬
‫أ‪ 1-1-‬الغرض‬
‫‪40‬‬ ‫ ‬
‫أ‪ 2-1-‬المسؤوليات‬
‫‪40‬‬ ‫أ‪ 3-1-‬التسلسل الهرمي للخطط والسلطات ‬
‫‪40‬‬ ‫ ‬
‫مستوى المسؤوليات‬ ‫أ‪ 2-‬‬
‫‪41‬‬ ‫ ‬
‫أ‪ 3-‬االلتزام‬
‫‪41‬‬ ‫ ‬
‫أ‪ 1-3-‬التكليف بالسلطة‬
‫‪41‬‬ ‫ ‬
‫أ‪ 2-3-‬الضوابط التي تح ِّددها الجهات التشريعية‬
‫‪41‬‬ ‫ ‬
‫إمكانية التطبيق‬ ‫أ‪4 -‬‬
‫‪42‬‬ ‫ ‬
‫أ‪ 5 -‬النطاق‬

‫‪15‬‬
‫‪42‬‬ ‫ ‬‫أ‪ 1-5-‬نطاق المعيار‬
‫‪42‬‬ ‫أ‪ 2-5-‬نطاق قدرة المؤسسة على استمرارية الخدمات والمهام بها ‬
‫‪ 43‬‬ ‫ ‬
‫متطلبات إدارة استمرارية األعمال‬ ‫أ‪ 6-‬‬
‫‪43‬‬ ‫ ‬
‫أ‪ 1-6-‬المتطلبات‬
‫‪43‬‬ ‫ ‬
‫أ‪ 2-6-‬القدرة الالزمة لتحقيق استمرارية األعمال‬
‫‪47‬‬ ‫ ‬
‫وثائق وسجالت إدارة استمرارية األعمال‬ ‫أ‪7 -‬‬
‫‪47‬‬ ‫ ‬
‫أ‪ 1-7-‬الوثائق المطلوبة‬
‫‪48‬‬ ‫ ‬
‫أ‪ 2-7-‬السيطرة على الوثائق والسجالت الخاصة بإدارة استمرارية األعمال‬
‫‪49‬‬ ‫ ‬‫برنامج استمرارية األعمال‬ ‫أ‪8 -‬‬
‫‪49‬‬ ‫ ‬
‫أ‪ 1-8-‬وضع برنامج استمرارية األعمال‬
‫‪50‬‬ ‫ ‬
‫أ‪ 2-8-‬مشاركة اإلدارة العليا‬
‫‪51‬‬ ‫أ‪ 3-8-‬تحليل التأثير على األعمال (‪ )BIA‬‬
‫‪53‬‬ ‫ ‬
‫أ‪ 4-8-‬توثيق التحليل الخاص بالتأثير على األعمال‬
‫‪56‬‬ ‫ ‬‫أ‪ 5-8-‬تقييم المخاطر‬
‫‪59‬‬ ‫ ‬
‫أ‪ 6-8-‬استراتيجية معالجة المخاطر‬
‫‪63‬‬ ‫أ‪ 7-8-‬استراتيجية إدارة استمرارية األعمال ‬
‫‪64‬‬ ‫أ‪ 8-8-‬خطة استمرارية األعمال ‬
‫‪71‬‬ ‫ ‬
‫أ‪ 9-8-‬التوعية والتدريب‬
‫‪73‬‬ ‫ ‬
‫أ‪ 10-8-‬اإلختبار والتمارين‬
‫‪78‬‬ ‫ ‬
‫أ‪ 11-8-‬التطوير المستمر إلدارة استمرارية األعمال‬
‫‪84‬‬ ‫ ‬‫تقييم وقياس إدارة استمرارية األعمال‬ ‫أ‪ 9-‬‬
‫‪84‬‬ ‫ ‬
‫أ‪ 1-9-‬المراجعة السنوية لقدرة استمرارية األعمال‬
‫‪85‬‬ ‫ ‬
‫أ‪ 2-9-‬مراجعة المو ِّردين األساسيين‬
‫‪86‬‬ ‫ ‬
‫أ‪ 3-9-‬مراجعة العمالء والطرف الثالث‬
‫‪86‬‬ ‫ ‬
‫أ‪ 4-9-‬مراجعة ما بعد الطوارئ واألزمات والكوارث‬
‫‪86‬‬ ‫أ‪ 5-9-‬التقرير السنوي لتقييم إدارة استمرارية األعمال ‬
‫‪87‬‬ ‫ ‬‫أ‪ 1 0-‬إدارة مراجعة قدرة استمرارية األعمال‬
‫‪87‬‬ ‫ ‬‫أ‪ 1-10-‬مراجعة اإلدارة‬
‫‪87‬‬ ‫ ‬
‫أ‪ 2-10-‬وثائق مراجعة اإلدارة‬
‫‪87‬‬ ‫ ‬‫أ‪ 3-10-‬معطيات مراجعة اإلدارة‬
‫‪89‬‬ ‫ ‬‫أ‪ 4-10-‬مخرجات مراجعة اإلدارة‬

‫‪16‬‬
 ‫‪90‬‬ ‫ ‬‫الجزء الثالث‪ :‬نماذج خطة استمرارية األعمال‬
‫‪91‬‬ ‫ ‬
‫‪ -1‬نموذج خطة استمرارية األعمال‬
‫‪91‬‬ ‫ ‬
‫إخالء المسؤولية‬
‫‪91‬‬ ‫ ‬
‫بيانات الخطة‬
‫‪91‬‬ ‫قائمة توزيع الخطة ‬
‫‪92‬‬ ‫المقدمة ‬
‫‪92‬‬ ‫ ‬
‫النطاق‬
‫‪93‬‬ ‫األهداف ‬
‫‪94‬‬ ‫ ‬
‫إعداد الفريق ‪ /‬طلب الخطة‬
‫‪94‬‬ ‫ ‬ ‫اإلنذار واإلشعار‬
‫‪94‬‬ ‫ ‬‫ال ِفرق ‪ /‬المجموعات‬
‫‪94‬‬ ‫ ‬‫األدوار والمسؤوليات‬
‫‪96‬‬ ‫ ‬
‫اإلخالء والتجميع‬
‫‪97‬‬ ‫االستجابة للحوادث ‬
‫‪100‬‬ ‫ ‬‫االتصال بشأن الحوادث‬
‫‪100‬‬ ‫ ‬‫االستمرارية‬
‫‪101‬‬ ‫ ‬
‫قائمة مهام استمرارية األعمال‬
‫‪101‬‬ ‫التعافي ‬
‫‪102‬‬ ‫ ‬
‫قائمة مهام إجراءات التعافي‬
‫‪102‬‬ ‫ ‬‫التدريب على التخطيط والتحديث‬
‫‪104‬‬ ‫ ‬
‫الملحق أ ‪ -‬جهات االتصال األساسية‬
‫‪105‬‬ ‫الملحق ب ‪( -‬المعرف أيضاً باسم «صندوق الطوارئ») ‬
‫‪107‬‬ ‫ ‬
‫الملحق ج ‪ -‬نموذج من التقارير والنماذج‬
‫‪109‬‬ ‫ ‬
‫الملحق د ‪ -‬المراجع والوثائق ذات الصلة‬
‫‪110‬‬ ‫ ‬‫الملحق هـ ‪ -‬مسرد المصطلحات‬

‫‪17‬‬
‫كلمة سمو مستشار األمن الوطني‬
 ‫نحو أفضل الممارسات في مجال إدارة استمرارية األعمال‬

‫من منطلق حرص قيادتنا الرشيدة على توفير الرفاهية واالستقرار للمجتمع‪ ،‬في جميع الحاالت‪ ،‬فقد حرصنا‪ ،‬من‬
‫جهتنا‪ ،‬على أن تكون جميع مؤسسات الدولة‪ ،‬في جميع القطاعات الحيوية‪ ،‬قادرة على االستمرار في تقديم‬
‫خدماتها وواجباتها تجاه المجتمع‪ ،‬ليس في األحوال العادية فقط‪ ،‬وإنما ‪ -‬كذلك ‪ -‬المقدرة على التعامل مع‬
‫والمنسقة مسبقاً‪ ،‬لكي تتمكَّن هذه المؤسسات‬
‫َّ‬ ‫الحوادث ال ُمفاجِئة‪ ،‬عبر إعداد الخطط والتجهيزات المدروسة‬
‫من االستمرار في دورها‪ ،‬والقيام بالمهام الضرورية تجاه المجتمع‪ ،‬خالل الكوارث المختلفة‪.‬‬

‫ولقد ت َّم إعداد هذه الوثيقة‪ ،‬لتكون معيارا ً إرشادياً‪ ،‬لمساعدة جميع مؤسسات الدولة‪ ،‬في مجال إدارة استمرارية‬
‫المختصون والخبراء لدينا‪ ،‬بدراسة أفضل الممارسات العالمية في هذا المجال‪ ،‬وارتأينا ضرورة‬
‫ُّ‬ ‫األعمال‪ ،‬حيث قام‬
‫إصدار هذا المعيار‪ ،‬ليكون مرجعاً لمساعدة جميع مؤسسات الدولة‪ ،‬من القطاعين العام والخاص‪ ،‬للوصول إلى‬
‫المستوى المطلوب‪ ،‬من المرونة والمقدرة على امتصاص الصدمات المفاجئة‪ ،‬واالستمرارية في العمل خالل‬
‫حاالت الطوارئ واألزمات والكوارث‪.‬‬

‫وال يختلف اثنان‪ ،‬في أن إدارة استمرارية األعمال‪ ،‬أصبحت اليوم من العناصر األساسية في منظومة إدارة‬
‫الطوارئ واألزمات والكوارث‪ ،‬لذلك‪ ،‬فإن بناء تلك المقدرة‪ ،‬يحتاج إلى الدعم والتشجيع من قبل اإلدارات العليا‬
‫في المؤسسات‪ ،‬لضمان تسخير الموارد اإلضافية‪ ،‬التي تمكِّن المؤسسة من االستمرار في أداء المهام الضرورية‪،‬‬
‫كحد أدنى‪ ،‬خالل الطوارئ واألزمات‪ ،‬إلى أن يت ّم استرجاع المقدرة الكاملة والعودة إلى الحياة الطبيعية‪.‬‬

‫وفي هذا السياق‪ ،‬فإننا نهيب بالجميع‪ ،‬التعاون وااللتزام بهذا المعيار‪ ،‬لضمان الح ّد األدنى من المتطلّبات الفنية‬
‫والتدريبية واإلدارية‪ ،‬للوصول إلى تلك الغاية التى توفّر للمجتمع الطمأنينة واالستقرار في جميع األحوال‪.‬‬
‫وجل‪-‬‬
‫ظل قيادتنا الغالية‪ ،‬وأدام علينا ‪-‬ع َّز َ‬
‫وفَّقنا الله لما فيه الخير لمجتمع دولة اإلمارات العربية المتحدة‪ ،‬في ّ‬
‫األمن واالستقرار‪.‬‬

‫هزاع بن زايد آل نهيان‬

‫‪19‬‬
20
 ‫المقدمة‬

‫بتوجيهات من القيادة الرشيدة‪ ،‬ومن منطلق التزام الحكومة االتحادية لدولة اإلمارات العربية المتحدة‪ ،‬بتعزيز‬
‫االستقرار في الدولة‪ ،‬وبمتابعة المجلس األعلى لألمن الوطني‪ ،‬قامت الهيئة الوطنية إلدارة الطوارئ واألزمات‬
‫والكوارث‪ ،‬بصياغة اإلصدار األول لمعيار إدارة استمرارية األعمال‪.‬‬

‫ت َّم إعداد هذا المعيار‪ ،‬مع دليل إرشادي‪ ،‬ونموذج لخطة استمرارية األعمال‪ ،‬بهدف تمكين المؤسسات من‬
‫بناء المقدرة على استمرارية األعمال فيها‪ ،‬بأسلوب منهجي‪ ،‬وذلك خالل وبعد التع ُّرض للطوارئ أو الكوارث‬
‫أو األزمات‪ ،‬من أجل ضمان االستمرار في تقديم الخدمات والمهام األساسية والضرورية‪ ،‬في القطاعين العام‬
‫والخاص‪ ،‬لتعزيز استقرار األمن الوطني بالدولة‪.‬‬

‫فالمؤسسات الحكومية وشركاؤها من القطاع الخاص‪ ،‬تحتاج إلى التعامل مع الطارئ أو األزمة أو الكارثة‪،‬‬
‫منسق وف ّعال‪ ،‬لكي تتمكَّن من التعافي التام من التعطّل‪ .‬وخالل هذا الطارئ أو األزمة أو الكارثة‪ ،‬الب َّد‬
‫بأسلوب َّ‬
‫من االستمرار في تقديم الخدمات والمهام األساسية والضرورية إلى المجتمع‪ ،‬إلى أن يعود الوضع إلى طبيعته‪.‬‬
‫إن مفهوم إدارة استمرارية األعمال ( ‪ ،) BCM -Business Continuity Management‬يعني بناء قدرة‬
‫المؤسسة على االستمرار في تقديم خدماتها ومهامها األساسية ‪ /‬الضرورية (كح ّد أدنى) بعد وخالل التع ُّرض‬
‫لطارئ أو أزمة أو كارثة تسببت في إرباك العمل أو إيقاف عجلته‪.‬‬

‫ت َّمت صياغة أول معيار في هذا المجال في العام ‪ ،2006‬في المملكة المتحدة‪ ،‬وذلك إبّان المعاناة من عدة‬
‫أزمات وكوارث‪ ،‬األمر الذي اضطر الباحثين بعدها إلى إيجاد آليات وأساليب لوضع معايير‪ ،‬في حال التزام‬
‫المؤسسات بها‪ ،‬تع ِّزز من إمكانية استمرارهم في تقديم مهامهم وخدماتهم األساسية ‪ /‬الضرورية‪ ،‬إلى أن يتم‬
‫التعافي من الطارئ أو األزمة أو الكارثة‪ ،‬والرجوع إلى الوضع الطبيعي‪ .‬وتُعتبر دولة اإلمارات س ّباقة في هذا‬
‫المجال‪ ،‬حيث لم تت ّم حتى اآلن صياغة معيار باللغة العربية في أ ّي من دول المنطقة‪.‬‬

‫وترتكز أهداف برنامج إدارة استمرارية األعمال لحكومة دولة اإلمارات العربية المتحدة‪ ،‬أو للحكومات المحلية‬
‫في كل واحدة من إمارات الدولة‪ ،‬والمؤسسات التي تعمل تحت نطاق سلطتها في القطاعين العام والخاص‪،‬‬
‫على ما يلي‪:‬‬
‫( أ ) استدامة استمرارية األعمال والمهام والخدمات األساسية ‪ /‬الضرورية في القطاعين العام والخاص‪ ،‬بما في‬
‫ذلك المنظمات غير الربحية‪.‬‬
‫( ب ) تأمين سلسلة اإلمداد الالزم الستمرارية األعمال‪.‬‬

‫‪21‬‬
‫( ج ) وضع إجراءات االستمرارية في تقديم األعمال والمهام والخدمات األساسية ‪ /‬الضرورية‪ ،‬عند التع ّرض‬
‫لطارئ أو أزمة أو كارثة‪ ،‬للعمل بأسلوب مخطَّط وقابل للسيطرة‪.‬‬
‫( د ) إعداد خطة ف ّعالة إلدارة استمرارية األعمال والمخاطر في النشاطات ‪ /‬الخدمات اليومية‪ ،‬في جميع‬
‫الجهات ‪/‬المؤسسات االتحادية‪ ،‬والمؤسسات المحلية في كل إمارة‪ ،‬وجميع المؤسسات التي تعمل تحت‬
‫نطاق سلطتها في القطاعين العام والخاص‪.‬‬

‫ت َّمت االستعانة بالمراجع والوثائق التالية‪ ،‬المعنية بإدارة استمرارية األعمال ‪:‬‬
‫ •المعيار البريطاني ‪ ،2007 :2-25999‬إدارة استمرارية األعمال – الجزء‪ 2‬المواصفات‬
‫ •المعيار األميركي ‪ ،2010 :1600 NFPA‬إدارة الكوارث ‪ /‬الطوارئ وبرامج استمرارية األعمال‬
‫ •المعياران األسترالي والنيوزيلندي ‪ ،2010 :5050 AS/NZA‬إدارة المخاطر المتعلقة بمعوقات األعمال‬
‫ •المعيار السويسري ‪ ،2009 :31000 ISO‬إدارة المخاطر – المبادئ والخطوط التوجيهية‬
‫ •المعيار السنغافوري ‪ ,)SS(BCM 540:2008‬إدارة استمرارية األعمال‪.‬‬

‫ثم قمنا ‪ -‬بعد ذلك ‪ -‬بوضع هذا المعيار ليتناسب مع طبيعة أعمال حكومة دولة اإلمارات‪ ،‬ويوفِّر المتطلَّبات‬
‫والمواصفات األساسية‪ ،‬التي تستعين بها األطراف الداخلية والخارجية‪ ،‬لمساعدة المؤسسات على مواصلة‬
‫أداء مهامها‪ ،‬وتقديم خدماتها األساسية ‪ /‬الضرورية‪ ،‬والتق ّيد بالتزاماتها التنظيمية والتعاقدية‪ ،‬وحماية مصالح‬
‫المؤسسات المنتفعة‪ ،‬بعد وقوع الطارئ أو األزمة أو الكارثة التي تعيقها عن أدائها‪ .‬ويمكن تطبيق متطلبات‬
‫إدارة استمرارية األعمال‪ ،‬الواردة في هذا المعيار‪ ،‬في جميع المؤسسات‪ ،‬بكافة أحجامها‪ ،‬في القطاعين العام‬
‫والخاص‪.‬‬

‫يشير المصطلح « يجب‪/‬تجب» كما هو مستخدم في هذا المعيار إلى مطلب إلزامي‪ ،‬إلاّ إذا ت َّم تعريفه بشكل‬
‫منفصل في المسرد‪.‬‬

‫‪22‬‬
 ‫الجزء األول‪ :‬المواصفات‬

‫الجزء األول‬
‫المواصفات‬

‫‪23‬‬
 ‫‪ :1‬مقدمة‬
‫‪ 1-1‬الغرض‬
‫يح ِّدد هذا المعيار العناصر واآلليات والنشاطات‪ ،‬التي تُستخدم في وضع وتنفيذ واستخدام واستدامة إدارة‬
‫استمرارية األعمال‪ ،‬للمؤسسات في القطاعين العام والخاص‪.‬‬
‫‪ 2-1‬المسؤوليات‬
‫يُعتبر مجلس الوزراء أو المجلس الوزاري للخدمات‪ ،‬أو من يرونه مناسباً‪ ،‬مسؤوالً عن التزام الوزارات والجهات‬
‫‪ /‬المؤسسات‪ ،‬التي تعمل تحت نطاق سلطته‪ ،‬بهذا المعيار‪ ،‬وتُعتبر األمانة العامة للمجالس التنفيذية ودواوين‬
‫سمو أولياء العهود في اإلمارات‪ ،‬أو من يرونه مناسباً‪ ،‬مسؤولين عن التزام الجهات ‪ /‬المؤسسات المحلية في‬
‫اإلمارات‪ ،‬والجهات ‪ /‬المؤسسات التي تعمل تحت نطاق سلطتها‪ ،‬بهذا المعيار‪.‬‬
‫‪ 3-1‬التسلسل الهرمي للخطط والسلطات‬
‫يوضح الشكل أدناه التسلسل الهرمي لخطط وسلطات إدارة استمرارية األعمال وإدارة الطوارئ واألزمات وإدارة‬
‫األحداث‪ ،‬على المستوى الوطني والمحلي والقطاعي والمؤسسي‪.‬‬

‫السلطة الوطنية‬
‫خطة‬
‫االستجابة‬

‫سلطة اإلمارة‬
‫خطة االستجابة‬
‫املحلية‬

‫القطاع‬
‫خطة االستجابة‬
‫للطوارئ بالقطاع‬

‫املؤسسة‬ ‫املؤسسة‬ ‫املؤسسة‬ ‫املؤسسة‬ ‫املؤسسة‬

‫إدارة الحدث‬ ‫إدارة الحدث‬ ‫إدارة الحدث‬ ‫إدارة الحدث‬ ‫إدارة الحدث‬
‫وخطة استمرارية‬ ‫وخطة استمرارية‬ ‫وخطة استمرارية‬ ‫وخطة استمرارية‬ ‫وخطة استمرارية‬
‫األعامل‬ ‫األعامل‬ ‫األعامل‬ ‫األعامل‬ ‫األعامل‬

‫استجابة المؤسسة‬ ‫االستجابة عبر القطاع‬

‫الشكل ‪ :1‬التسلسل الهرمي للخطط والوثائق لمعيار إدارة استمرارية األعمال‬

‫‪24‬‬
 ‫الجزء األول‪ :‬المواصفات‬

‫‪ :2‬مستوى المسؤوليات‬
‫تقع المسؤولية في تنفيذ وإعداد برنامج استمرارية األعمال‪ ،‬على اإلدارة العليا للمؤسسة‪ ،‬وذلك بتخصيص‬
‫الموارد الالزمة لتنفيذه‪ .‬ويق ّدم هذا المعيار‪ ،‬والدليل اإلرشادي التابع له‪ ،‬المستويات الدنيا المطلوبة إلعداد‬
‫البرنامج‪.‬‬

‫المختص من قبل المؤسسة‪ ،‬ورفع هذه المخالفات‬

‫ّ‬ ‫كما تقع مسؤولية عدم التوافق مع هذا المعيار‪ ،‬على الفريق‬
‫إلى اإلدارة العليا للمؤسسة‪ ،‬وذلك للقيام باإلجراءات اإلصالحية المناسبة التي توافق مع هذا المعيار‪.‬‬

‫‪ :3‬االلتزام‬
‫‪ 1-3‬التكليف في السلطة‬
‫على الجهات المكلفة من قبل الحكومة االتحادية للدولة‪ ،‬والحكومة المحلية في كل إمارة‪ ،‬أن تتأكد من التزام‬
‫المؤسسات التي تعمل تحت نطاق سلطتها بهذا المعيار‪.‬‬

‫‪ 2-3‬الضوابط المحدّ دة بواسطة الجهات التشريعية‬

‫يجوز للجهات التشريعية وتلك المصدرة للتراخيص‪ ،‬تحديد مواصفات أخرى‪ ،‬إضافية لتلك الواردة بهذا المعيار‪،‬‬
‫بغرض ضمان سالمة المجتمع وأمنه‪ ،‬واستمرار المهام والخدمات الضرورية ‪ /‬األساسية الالزمة لدعم األمن‬
‫الوطني‪ .‬في حالة وجود مواصفات إضافية‪ ،‬يجب على المؤسسة التق ُّيد بهذه المواصفات‪ ،‬إالّ في الحاالت التي‬
‫تحدث اختالفات‪ ..‬عندها‪ ،‬يجب الرجوع إلى الجهة المص ِّدرة لهذا المعيار للتمييز بينها‪.‬‬

‫‪ :4‬إمكانية التطبيق‬
‫تُعتبر المتطلبات والمواصفات الواردة في هذا المعيار عامة‪ ،‬ويُمكن تطبيقها على كافة مؤسسات الدولة‬
‫والجهات ذات الصلة‪ ،‬مثل الشركات ومو ِّردي الخدمات األساسيين‪ ،‬ألداء وظائف المؤسسات الحكومية األساسية‬
‫وخدمات المجتمع‪.‬‬

‫‪25‬‬
 ‫‪ :5‬النطاق‬
‫‪ 1-5‬نطاق المعيار‬
‫يتناول هذا المعيار المواصفات وطريقة التنفيذ الخاصة بإدارة استمرارية األعمال‪.‬‬
‫أ‪ 1-5-‬يتناول هذا المعيار متطلبات ومواصفات التأسيس والتخطيط والتنفيذ والتدريب واالستدامة والمراقبة‬
‫والمراجعة والتطوير المستمر للمؤسسة على استمرارية الخدمات والمهام فيها‪ ،‬خالل الطوارئ واألزمات‬
‫والكوارث ‪.‬كما يتناول الجزء الثاني من هذا المعيار طريقة تطبيقه في المؤسسات‪.‬‬

‫‪ 2-5‬نطاق مقدرة المؤسسة على استمرارية الخدمات والمهام فيها‬

‫‪ 1-2-5‬تضطلع المؤسسة بتحديد المخرجات والنتائج والنشاطات والخدمات والمهام التي تندرج في نطاق‬
‫مقدرتها على استمرارية األعمال‪.‬‬
‫‪ 2-2-5‬يجب أن تشتمل مقدرة المؤسسة على استمرارية األعمال‪ ،‬على ما يلي‪:‬‬
‫(أ) متطلبات استمرارية الخدمات والمهام األساسية ‪ /‬الضرورية‪.‬‬
‫(ب) األهداف وااللتزامات التنظيمية‪.‬‬
‫(ج) مستوى‪/‬مستويات المخاطر غير المقبولة التي تفوق مستوى تقبل المؤسسة لها‪.‬‬
‫(د) الواجبات التشريعية والتنظيمية والتعاقدية‪.‬‬
‫(هـ) مصالح الجهات المنتفعة والشركاء الرئيسيين‪.‬‬

‫‪ :6‬متطلبات معيار إدارة استمرارية األعمال‬

‫‪ 1-6‬المتطلبات‬
‫تتولى كل مؤسسة في الدولة‪ ،‬مسؤولية تحديد وتوثيق مستوى قدرتها المناسبة الستمراريتها‪ ،‬بتقديم وتأدية‬
‫مهامها وخدماتها الضرورية واألساسية خالل الطوارئ واألزمات والكوارث‪.‬‬

‫‪ 2-6‬االحتياجات المطلوبة لتحديد «المقدرة المناسبة على االستمرارية باألعمال» هي‪:‬‬

‫(أ ) تحديد وتحليل وتوثيق المخاطر المتوقّعة‪ ،‬والتي يُمكن أن تتع َّرض لها المؤسسة وتؤ ّدي إلى إيقاف ‪/‬‬
‫عرقلة سير العمل‪.‬‬
‫(ب) تحديد المستوى األدنى (المقبول) من مستويات التأثير على عمل المؤسسة‪.‬‬
‫(ج) إيجاد آلية بشكل مستمر‪ ،‬لتقليص الخسائر والتأثيرات غير المقبولة الناتجة عن‪:‬‬

‫‪26‬‬
 ‫الجزء األول‪ :‬المواصفات‬

‫عدم تواجد العاملين الرئيسيين في المؤسسة‪.‬‬

‫فقدان‪/‬عدم توفر المرافق األساسية في المؤسسة‪.‬‬
‫فقدان‪/‬عدم توفر األصول أو الممتلكات األساسية ‪ /‬الضرورية والسجالت الحيوية للمؤسسة‪.‬‬
‫فقدان‪/‬عدم المقدرة على الوصول إلى نظم تقنية المعلومات واالتصاالت والبيانات للمؤسسة‪.‬‬
‫انقطاع البضائع والخدمات من المصادر الداخلية أو الخارجية في سلسلة اإلمداد للمؤسسة‪.‬‬
‫(د) عند التع ّرض لتعطّل في العمل‪ ،‬ما هو الح ّد األدنى للخدمات‪/‬المهام التي تجب المحافظة عليها‪ ،‬وما‬
‫هو الزمن األقصى للتمكّن من استعادة القدرة على االستمرار في تقديم تلك األعمال‪/‬المهام‬
‫األساسية ‪ /‬الضرورية؟‬
‫(هـ) وضع واستدامة وتطبيق خطط لالستجابة واستمرارية األعمال للنشاطات األساسية والضرورية‪(.‬يجب‬
‫أن تشتمل هذه الخطط على إدارة الطارئ أو األزمة أو الكارثة أو االتصاالت)‪.‬‬
‫(و ) التأكّد من توافر المقدرة على استدامة واستمرارية الوظائف والخدمات األساسية والضرورية عند‬
‫مستويات األداء المحددة مسبقاً‪ ،‬والتي تتناسب مع حجم التعطّل وتأثيره‪.‬‬
‫(ز) التأكّد من تدريب العاملين على أداء أدوارهم ومسؤولياتهم في إدارة استمرارية أعمال النشاطات ‪/‬‬
‫الخدمات األساسية ‪ /‬الضرورية‪.‬‬
‫(ح ) إجراء التمارين المنتظمة للتأكّد من كفاءة خطة إدارة استمرارية األعمال‪ ،‬وتدريب وممارسة العاملين‬
‫على تلك المهام‪.‬‬
‫سجل تقييم المخاطر‪ ،‬وتحليل التأثير على أعمال المؤسسة‪ ،‬وفرضيات التخطيط إلدارة‬ ‫(ط ) تحديث ّ‬
‫استمرارية األعمال‪ ،‬والخطط الخاصة باالستجابة للتغيرات المادية في تنظيم المؤسسة وبنيتها‬
‫التحتية والعاملين فيها وموقع إدارة عمليات المؤسسة‪.‬‬

‫‪ :7‬وثائق وسجالت إدارة استمرارية األعمال‬

‫‪ 1-7‬الوثائق المطلوبة‬
‫سجل وثائقي لجميع إجراءات تطبيق برنامج بناء مقدرتها على استمرارية‬
‫‪ 1-1-7‬يجب أن يكون لدى المؤسسة ّ‬
‫األعمال‪.‬‬
‫‪ 2-1-7‬يجب أن تحتوي سجالت استمرارية األعمال لدى المؤسسة على األقل‪ ،‬على النقاط التالية‪:‬‬
‫( أ ) المفهوم‬
‫( ب ) السياسة‬

‫‪27‬‬
 ‫( ج ) الموارد الخارجية‬
‫( د ) كفاءة العاملين‬
‫( هـ ) تحليل التأثير على األعمال ( ‪) BIA‬‬
‫( و ) تقييم المخاطر‬
‫( ز ) االستراتيجية‬
‫(ح) خطة الطارئ أو األزمة أو الكارثة‬
‫(ط) خطة إدارة استمرارية األعمال‬
‫(ي) سجل التمارين‬
‫(ك) سجل المراجعة‬
‫(ل) التدقيق الداخلي‬
‫(م) االجراءات الوقائية والتصحيحية‬
‫(ن) سجل المراجعة‬
‫‪ 2-7‬السيطرة على الوثائق والسجالت الخاصة بإدارة استمرارية األعمال‬
‫السمات اآلتية في الوثائق والسجالت الخاصة بإدارة استمرارية األعمال‪:‬‬ ‫‪ 1-2-7‬يجب أن تتوافر ِّ‬
‫( أ ) سهولة فهمها وتمييزها والوصول إليها‪ ،‬السيما في وقت الطارئ أو األزمة أو الكارثة‪.‬‬
‫( ب ) تض ُّمنها التمييز المطلوب لتخزينها وحمايتها وسهولة استعادتها‪.‬‬
‫( ج ) تصديقها للمطابقة مع المعيار قبل إصدارها‪.‬‬
‫( د ) إخضاعها للمراجعة والتحديث وإعادة التصديق عند الضرورة مع توثيق التحديثات‪.‬‬
‫( هـ ) توفر نسخ محدثة في المواقع الرئيسة والبديلة‪ ،‬وفي مواقع االستخدام األخرى‪.‬‬
‫( و ) تحديد الوثائق الواردة من المصادر الخارجية‪.‬‬
‫( ز ) إخضاع توزيعها وتحديثها للرقابة والمتابعة‪.‬‬

‫‪ :8‬برنامج استمرارية األعمال‬

‫‪ 1-8‬وضع برنامج استمرارية األعمال‬

‫يجب وضع برنامج استمرارية األعمال‪ ،‬من خالل سلسلة من المهام والنشاطات‪ ،‬التي تبدأ بمشاركة اإلدارة العليا‪،‬‬
‫وتستمر إلى االختبار والتمارين والمراجعة والتطوير المستمر‪ .‬وعندما توجد لدى المؤسسة خطط جاهزة‬
‫إلدارة استمرارية األعمال قبل صدور هذا المعيار‪ ،‬يتم استخدام هذا المعيار كمقياس للتأكّد من تلبية هذه‬

‫‪28‬‬
 ‫الجزء األول‪ :‬المواصفات‬

‫المتطلبات؛ بل وتجاوزها‪ ،‬سواء على المستوى االتحادي أو المحلي أو المؤسسي‪ ،‬في القطاعين العام والخاص‪،‬‬
‫لترسيخ واستدامة إدارة استمرارية األعمال‪.‬‬

‫‪ 2-8‬مشاركة اإلدارة العليا‬

‫‪ 1-2-8‬على اإلدارة العليا في المؤسسة تحديد مفهوم وأهداف إدارة استمرارية األعمال فيها‪.‬‬
‫‪ 2-2-8‬على المؤسسة تحديد وتوفير الموارد المطلوبة لتطبيق واستدامة برنامج إدارة استمرارية األعمال‪،‬‬
‫وضمان تخصيص الموارد الالزمة الستمرارية نشاطاتها ‪ /‬خدماتها‪.‬‬

‫‪ 3-8‬تحليل التأثير على األعمال (‪)BIA‬‬

‫على المؤسسة تحديد وتوثيق طريقة لتحديد تأثير تعطّل العمل على النشاطات‪ /‬الخدمات الضرورية أو‬
‫الخدمات األساسية‪ /‬الضرورية للمؤسسة‪.‬‬

‫‪ 4-8‬توثيق التحليل الخاص بالتأثير على األعمال‬

‫على المؤسسة توثيق التأثير على تعطّل األعمال من خالل‪:‬‬
‫( أ ) تحديد المهام والنشاطات والخدمات األساسية‪ /‬الضرورية‪.‬‬
‫( ب) تحديد اإلجراءات المطلوبة لدعم المهام والوظائف والخدمات األساسية‪ /‬الضرورية‪.‬‬
‫( ج) تحديد تأثير التعطّل على تأدية المهام والخدمات األساسية‪ /‬الضرورية‪ ،‬وتحديد الكيفية التي يزيد‬
‫التأثير بها أو يقل بمرور الوقت‪.‬‬
‫( د) تحديد أقصى فترة تحمل لتعطّل كل نشاط‪ /‬خدمة‪.‬‬
‫( هـ) تحديد النشاطات‪ /‬الخدمات التي تُعتبر أساسية الستمرارية توفير ال ُمخرجات والنشاطات والخدمات‬
‫األساسية‪ /‬الضرورية للمؤسسة‪.‬‬
‫( و ) تصنيف النشاطات‪ /‬الخدمات‪ ،‬األساسية‪ /‬الضرورية‪ ،‬وفقاً ألولوية قابليتها للتعافي‪ ،‬طبقاً لتحليل‬
‫التأثير على األعمال (‪.)BIA‬‬
‫( ز) تحديد الجهات الداخلية والخارجية التي تعتمد المؤسسة عليها‪ ،‬من أجل استمرار المهام والنشاطات‬
‫والخدمات األساسية‪ /‬الضرورية‪ ،‬بما في ذلك المو ِّردين وشركات تقديم الخدمات المتعاقدة مع‬
‫المؤسسة‪.‬‬
‫( ح ) االطالع على خطط الطوارئ الحالية للمؤسسة (إن وجدت)‪.‬‬
‫( ط) االطالع على جميع خطط الطوارئ للمو ِّردين والشركات‪ ،‬للتأكد من مقدرتهم على االستمرار في‬

‫‪29‬‬
 ‫تقديم خدماتهم ومنتجاتهم‪ ،‬عند تع ّرضهم لطارئ أو أزمة أو كارثة‪.‬‬
‫( ي ) تحديد الموارد التي يحتاجها كل نشاط أو مه َّمة أو خدمة في المؤسسة‪ ،‬من أجل ضمان استمرارها‪.‬‬
‫( ك) وضع وقت التعافي المستهدف (‪ )RTO‬السترجاع المقدرة على أداء المهام‪/‬الخدمات األساسية‪،‬‬
‫وذلك‪ ،‬خالل الفترة القصوى لتح ُّمل المؤسسة النقطاع تلك الخدمات (‪.)TPD‬‬

‫‪ 5-8‬تقييم المخاطر‬
‫على المؤسسة أن تُجري تقييماً للمخاطر المحدقة بها‪ ،‬من أجل تحديدها وتقييمها وتحديثها باستمرار‪ ،‬ويتم‬
‫اتباع أسلوب ُمعتمد لتقييم المخاطر‪ ،‬للتأكد من أن المؤسسة بحاجة إلى التخطيط لهذه المخاطر‪ ،‬أو اتباع‬
‫استراتيجية أخرى لمعالجة هذه المخاطر؛ إذ ينبغي على المؤسسة القيام بما يلي‪:‬‬
‫ • تحديد المخاطر والتهديدات التي يمكن أن تُعيق أو توقف تنفيذ النشاطات(الخدمات األساسية) الضرورية فيها‪.‬‬
‫ • تحديد التأثير الذي سينجم عن تح ّول أحد المخاطر الكامنة المعروفة لديها‪ ،‬إلى حدث يس ِّبب تعطل األعمال‪.‬‬
‫ • عند تحديد التأثير‪ ،‬يجب أن توضع في االعتبار‪ ،‬االعتمادية المتبادلة ذات الصلة بأداء النشاطات(الخدمات‬
‫األساسية) الضرورية‪.‬‬
‫ • تحليل مستوى التع ّرض للمخاطر من خالل‪:‬‬
‫( أ ) تحديد األحداث التي تؤ ّدي إلى تعطّل األعمال (مثل المخاطر‪ ،‬التهديدات ‪ ...‬إلخ)‪.‬‬
‫( ب ) تقييم األثر المباشر وغير المباشر الذي يُمكن أن تسبّبه هذه األحداث في العمليات اليومية‬
‫للمؤسسة‪ ،‬وعلى أدائها لنشاطاتها األساسية ‪ /‬الضرورية‪ ،‬والزيادة المتوقّعة في الطلب على‬
‫الخدمات األخرى‪.‬‬
‫( ج ) توثيق مخاطرها‪ ،‬ووضع األسبقيات لها وفقاً لتقييم المخاطر‪.‬‬
‫( د ) تحديد ومراقبة الضعف بصورة مستمرة‪.‬‬

‫‪ 6-8‬استراتيجية إدارة المخاطر‬

‫على المؤسسة تطبيق وتوثيق إدارة المخاطر‪ ،‬لمعالجة التهديدات المحتملة على نشاطاتها‪ /‬خدماتها األساسية‪/‬‬
‫الضرورية‪ ،‬وفقاً لمستوى المخاطر المقبول لديها‪.‬‬
‫‪ 1-6-8‬تحديد عالجات المخاطر‪ ،‬وفقاً لقدرة هذه العالجات على‪:‬‬
‫( أ ) تقليص احتمالية حدوث التعطّل‪.‬‬
‫( ب ) تقصير فترة التعطّل‪.‬‬
‫( ج ) تقليص تأثير التعطّل على نشاطات‪ /‬خدمات الجهة‪ /‬المؤسسة األساسية‪ /‬الضرورية‪.‬‬

‫‪30‬‬
 ‫الجزء األول‪ :‬المواصفات‬

‫‪ 2-6-8‬على الجهة‪ /‬المؤسسة رفع التوصيات المعنية بمعالجة المخاطر إلى اإلدارة العليا‪ ،‬لمراجعتها‬
‫وتصديقها‪.‬‬

‫‪ 7-8‬استراتيجية إدارة استمرارية األعمال‬

‫يتو َّجب على اإلدارة العليا في المؤسسة‪ ،‬وضع واعتماد استراتيجيات إدارة استمرارية األعمال‪ ،‬للتمكُّن من‬
‫االستمرار في تقديم النشاطات(الخدمات األساسية) الضرورية‪ ،‬بعد التع ّرض لتعطل األعمال‪ ،‬بسب تلك المخاطر‬
‫التي لم يت ّم التمكّن من إزالتها أو الح ّد منها‪ ،‬وت ّم قبولها‪.‬‬
‫‪ 8-8‬خطة إدارة استمرارية األعمال‬
‫على المؤسسة وضع خطط إلدارة استمرارية األعمال لدعم استراتيجياتها‪ ،‬كما يلي‪:‬‬
‫‪ 1-8-8‬يجب أن تتوافر لدى المؤسسة خطط موثقة‪ ،‬توضح كيفية استجابتها لتعطّل األعمال‪ ،‬وإدارة الطارئ‬
‫أو األزمة أو الكارثة‪ ،‬والتعافي الستدامة االستمرارية في النشاطات(الخدمات األساسية) الضرورية‪ ،‬وفقاً‬
‫لمستويات األداء المق َّررة سلفاً‪ ،‬وذلك بعد حدوث تعطّل للعمل‪.‬‬
‫السمات اآلتية ‪:‬‬ ‫‪ 2-8-8‬يجب أن تتوافر في كل خطة‪ِّ ،‬‬
‫( أ ) أن تكون ذات غرض ونطاق مح َّددين‪.‬‬
‫(ب) إتاحتها لدى العاملين لديها‪ ،‬ومب ّينة فيها األدوار والمسؤوليات‪ ،‬للتمكُّن من مراجعتها وتحديثها‪.‬‬
‫(ج) تطابق الخطة مع خطط وإمكانيات ومتطلبات الجهات المنتفعة الخارجية‪.‬‬
‫(د) سهولة الوصول إليها‪ ،‬وفهمها‪ ،‬وتوافرها للمعنيين بها وقت تطبيقها‪.‬‬
‫‪ 3-8-8‬يجب أن تتض َّمن جميع الخطط ما يلي‪:‬‬
‫(أ) خطوط (وسائل) اتصاالت مح َّددة‪.‬‬
‫(ب) واجبات رئيسة ومعلومات مرجعية‪.‬‬
‫(ج) أدوار ومسؤوليات للعاملين وفرق العمل‪ ،‬أثناء وقوع الحدث وبعده‪.‬‬
‫(د) تحديد األشخاص المعنيين‪ ،‬الذين لديهم السلطة الستخدام كل خطة وتحت أية ظروف‪.‬‬
‫(هـ) الكيفية التي يتم بها وضع الخطة قيد التنفيذ‪ ،‬حسب مستوى الحدث‪.‬‬
‫(و) بيان بالمواقع الرئيسة والبديلة للتج ّمع وااللتقاء وبدء األعمال‪.‬‬
‫(ز) بيانات االتصال بالمؤسسات والمو ِّردين المنتفعين‪ ،‬والتي تعتبر مه َّمة للتصدي للطارئ أو األزمة أو‬
‫الكارثة‪ ،‬وإدارة استمرارية األعمال‪.‬‬
‫(ح)اإلجراءات التي يجب اتباعها‪ ،‬للرجوع إلى الحالة الطبيعية من حالة الطوارئ أو األزمة أو الكارثة‪.‬‬
‫(ط) اإلرشادات الخاصة بالتص ّدي للطارئ أو األزمة أو الكارثة‪ ،‬مع وضع األموراآلتية في االعتبار‪:‬‬
‫ •مصالح العاملين وتوفير الظروف المناسبة لهم‪.‬‬
‫ •منع المزيد من الخسارة أو عدم توفر النشاطات(الخدمات األساسية) الضرورية‪.‬‬

‫‪31‬‬
 ‫ •أثر التعطّل على النشاطات (الخدمات األساسية) الضرورية‪.‬‬
‫ •الخيارات االستراتيجية والتشغيلية لالستجابة عند حدوث التعطّل‪.‬‬
‫(ي) وضع آلية اتصال واضحة‪ ،‬لتمكين العاملين ووسائل اإلعالم من التواصل واالتصال‪ ،‬لمعرفة مستجدات‬
‫الطارئ أو األزمة أو الكارثة‪.‬‬
‫(ك) إرشادات من أجل إدارة الطارئ أو األزمة أو الكارثة‪ ،‬وتشمل الخطوات التالية‪:‬‬
‫‪ .1‬كيفية التعامل مع المستجدات أثناء الطارئ أو األزمة أو الكارثة‪.‬‬
‫‪ .2‬كيفية إصدار التعليمات للتعافي السريع من أجل االستمرار في تقديم النشاطات (الخدمات‬
‫األساسية) الضرورية‪.‬‬
‫(ل) تفاصيل عن الكيفية والظروف‪ ،‬التي تقوم فيها المؤسسة باالتصال مع العاملين وأقاربهم والشركاء‬
‫الرئيسيين وأرقام الطوارئ‪.‬‬
‫(م) آلية تسجيل المعلومات والبيانات حول الطارئ أو األزمة أو الكارثة واالجراءات والقرارات التي ت َّم‬
‫اتخاذها‪.‬‬
‫(ن) قائمة باالجراءات والواجبات التي تحتاج للتنفيذ‪.‬‬
‫(س) قائمة بالموارد المطلوبة الستعادة األوضاع‪ ،‬لالستمرار في األعمال على مدار الوقت‪.‬‬
‫(ع) وضع أولوية لألهداف‪ ،‬في ما يتصل بالنشاطات(الخدمات األساسية) الضرورية‪ ،‬الواجب استعادتها‪،‬‬
‫والجداول الزمنية التي تعود إليها‪ ،‬ومستويات االستعادة المطلوبة لكل نشاط(خدمة أساسية)‬
‫ضرورية‪ ،‬بهدف تحقيق استمرارية األعمال‪.‬‬
‫(ف) إجراءات وتعليمات «خفض الحالة»‪ ،‬عند انتهاء الحادث أو الطارىء‪ ،‬والرجوع إلى الحالة الطبيعية‪.‬‬

‫‪ 9-8‬التثقيف والتدريب‬
‫‪ 1-9-8‬تثقيف العاملين‬
‫على المؤسسة التأكُّد من إدراج إدارة استمرارية األعمال ضمن األعمال اليومية للمؤسسة‪ .‬ويت ّم تحقيق ذلك عبر‬
‫مخصصة لذلك‪ ،‬كما يت ّم نشر‬
‫برنامج مستمر للتدريب والتثقيف لكافة العاملين‪ ،‬ويجري توثيقها في سجالت َّ‬
‫هذه الثقافة للجهات الخارجية أيضاً‪ .‬ويشتمل برنامج تثقيف العاملين على ما يلي‪:‬‬
‫(أ) وضع األسس لتقييم مدى فعاليته‪.‬‬
‫(ب) نشر ثقافة القدرة على استمرارية األعمال‪.‬‬
‫(ج) التأكُّد من التطوير المستمر‪.‬‬
‫(د) ضمان إلمام العاملين بأدوارهم ومسؤولياتهم في برنامج إدارة استمرارية األعمال‪.‬‬

‫‪ 2-9-8‬التدريب‬
‫على المؤسسة التأكُّد من أن تدريب العاملين وفرق العمل‪ ،‬يتناسب مع أدوارهم ومسؤولياتهم‪ ،‬ويشمل ‪ -‬على‬

‫‪32‬‬
 ‫الجزء األول‪ :‬المواصفات‬

‫سبيل المثال ال الحصر ‪ -‬االستجابة واالستمرارية واالستدامة والتطوير المستمر‪.‬‬

‫‪ 3-9-8‬سجالت التدريب‬
‫على المؤسسة توثيق التدريب الخاص بإدارة استمرارية األعمال‪ ،‬وحفظ السجالت الخاصة بها‪.‬‬
‫‪ 4-9-8‬نشر ثقافة إدارة استمرارية األعمال للجهات الخارجية‬
‫على المؤسسة إخطار مو ِّرديها والجهات المنتفعة‪ ،‬إلى مسؤولياتهم في تلبية متطلباتها لتحقيق استمرارية‬
‫األعمال‪.‬‬

‫‪ 10-8‬االختبارات والتمرين‬
‫على المؤسسة إجراء االختبارات والتمارين‪ ،‬لضمان جاهزية الخطط للغرض الذي وضعت من أجله‪ ،‬والمحافظة‬
‫على تنفيذ «خطة تدريب واختبار» بشكل سنوي‪.‬‬

‫‪ 1-10-8‬االختبارات‬
‫تجرى الفحوصات لتقييم جاهزية وصالحية وكفاية األدوات والتقنيات والمرافق والبنية التحتية الالزمة لتنفيذ‬
‫خطط المؤسسة الخاصة بإدارة استمرارية األعمال‪.‬‬

‫‪ 2-10-8‬التمارين‬
‫تجرى التمارين للتحقُّق من أن االجراءات والعاملين والعمليات المطلوبة لتنفيذ خطط استمرارية األعمال في‬
‫الجهة‪ /‬المؤسسة‪ ،‬تحقق تلك األهداف الواردة في تحليل التأثير على األعمال‪ ،‬من خالل تلبية المتطلبات اآلتية‪:‬‬
‫( أ ) إجراء تمارين دورية‪ ،‬أو عند حدوث أية تغييرات تؤثر على النشاطات(الخدمات األساسية) الضرورية‬
‫الهامة في المؤسسة‪.‬‬
‫( ب ) إجراء مجموعة من التمارين التي تُثبت بمجملها قدرة المؤسسة على استمرارية األعمال عند أخذها‬
‫مجتمعة‪ ،‬وتركز على تلك المخاطر التي ت َّم تحديدها كأعلى مستوى من المخاطر في الفقرة ‪.5-8‬‬
‫( ج ) عند التخطيط للتمارين‪ ،‬يُؤخذ بعين االعتبار عدم تع ّرض الجهة‪ /‬المؤسسة لمخاطر تعطّل األعمال‪،‬‬
‫التي قد تحدث كنتيجة مباشرة للتمرين‪.‬‬
‫( د ) تقديم منهج مو َّحد لممارسة االجراءات‪ ،‬والتفاعل مع الجهات‪ /‬المؤسسات األخرى في إطار مو َّحد‪،‬‬
‫قدر اإلمكان‪.‬‬
‫( هـ ) تحديد المقاصد واألهداف من كل تمرين‪.‬‬
‫( و ) كتابة تقرير عن التمرين والنتائج والتعليقات والمقترحات‪ ،‬بحيث تشمل االجراءات المطلوبة وخطة‬
‫المعالجة‪.‬‬
‫( ز ) إجراء مراجعة بعد التمرين‪ ،‬لتقييم األهداف التي تحقَّقت منه‪ ،‬واستخالص الدروس ال ُمستفادة من‬
‫أجل التطوير‪.‬‬

‫‪33‬‬
 ‫( ح ) التأكُّد من دعم برنامج التدريب والتثقيف‪ ،‬ألهداف إدارة استمرارية األعمال بفاعلية‪.‬‬
‫( ط ) من المق َّرر عقد تمارين دورية على المستوى الوطني‪ ،‬من قبل الهيئة الوطنية إلدارة الطوارئ‬
‫واألزمات والكوارث‪ ،‬وذلك للتأكُّد من تناغم الخطط لدى جميع مؤسسات الدولة‪ ،‬من أجل تأكيد‬
‫التعاون والتنسيق المشترك بينها‪.‬‬

‫‪ 11-8‬التطوير المستمر إلدارة استمرارية األعمال‬

‫‪ 1-11-8‬المتطلبات‬
‫يجب أن تتأكَّد المؤسسة من تلبية األهداف المح َّددة إلدارة استمرارية األعمال‪ ،‬من خالل المراجعة الدورية‪،‬‬
‫بما في ذلك التقييم الذاتي‪ ،‬والتحسين المستمر لخططها وأدائها وتوثيقها‪.‬‬
‫‪ 2-11-8‬المنهجية‬
‫يجب أن تتم المراجعة الدورية والتطوير المستمر من خالل‪:‬‬
‫( أ ) مراجعة منتظمة للتغييرات التي تجرى على األعمال‪ ،‬والمخاطر التي يُمكن أن تُعيق األعمال‪ ،‬وتأثير‬
‫هذه اإلعاقات وزيادة أو قلَّة حدوث المخاطر‪.‬‬
‫( ب ) مراجعة وتنقيح استراتيجيات معالجة المخاطر‪.‬‬
‫( ج ) اعتماد االستجابة وإدارة الحدث واالتصاالت والتعافي وخطة‪/‬خطط االستمرارية‪ ،‬التي تحقق أهداف‬
‫إدارة استمرارية األعمال للمؤسسة‪.‬‬
‫‪ 3-11-8‬النتائج‬
‫يتم توثيق نتائج المراجعة بواسطة الشخص المسؤول عن استمرارية األعمال في الجهة‪ /‬المؤسسة‪ ،‬ويتم رفعها‬
‫في تقرير‪ ،‬إلى اإلدارة العليا‪.‬‬

‫‪ 4-11-8‬عدم التوافق‬
‫تقوم المؤسسة بمعالجة عدم التوافق في مقدرتها على استمرارية األعمال فيها مع هذا المعيار‪ ،‬من خالل‬
‫االجراءات الوقائية والتصحيحية‪.‬‬

‫‪ 5-11-8‬االجراءات الوقائية والتصحيحية‬

‫يجب التنسيق وتحقيق االنسجام بين االجراءات الوقائية والتصحيحية وسياسة وأهداف إدارة استمرارية األعمال‪،‬‬
‫بالمستوى المقبول للمخاطر المح َّددة من قبل اإلدارة العليا‪.‬‬

‫‪ 1 -5-11-8‬االجراءات الوقائية‪:‬‬
‫( أ ) توضع أولوية االجراءات الوقائية‪ ،‬بنا ًء على نتائج تقييم المخاطر وتحليل التأثير على األعمال للمؤسسة‪.‬‬
‫( ب ) يتوافق حجم االجراءات الوقائية مع حجم التأثير المحتمل من الطارئ أو األزمة أو الكارثة‪.‬‬

‫‪34‬‬
 ‫الجزء األول‪ :‬المواصفات‬

‫ينص المعيار الخاص باالجراءات الوقائية على المتطلّبات الالزمة‪.‬‬

‫(ج) ّ‬

‫‪ 2-5-11-8‬االجراءات التصحيحية‪:‬‬
‫على المؤسسة اتخاذ االجراءات الالزمة‪ ،‬للتخلّص من أسباب عدم التوافق مع إدارة استمرارية األعمال‪ ،‬ومنع‬
‫تكرار حدوثها‪ ،‬والتي توضح إجراءات التوثيق وتحديد نقاط وأسباب عدم التوافق‪ ،‬وتسجيل جميع اإلجراءات‬
‫التي ت َّم اتخاذها‪.‬‬

‫نموذج عمل استمرارية األعمال‬

‫تأسيس املنظور واألهداف‬

‫التزام اإلدارة‬
‫فهم األعامل األساسية للمؤسسة‬

‫إجراء‪/‬مراجعة تحليل‬
‫الثأثري عىل األعامل‬ ‫تحديد املخاطر‬
‫تحديد العمليات‬

‫إدارة مخاطر املؤسسة‬

‫األساسية‬ ‫تحليل املخاطر‬
‫تقييم املخاطر‬
‫تحديد املوارد املساندة‬
‫التخطيط‬ ‫تحديد اسرتاتيجيات‬
‫للمخاطر‬
‫غري املقبولة‬ ‫التعامل مع املخاطر‬
‫وضع إسرتاتيجسة إدارة‬
‫استمرارية األعامل‬ ‫تحديد اإلسرتاتيجية‬

‫وضع الخطط (إدارة‬ ‫تجهيز املرافق‬

‫استمرارية األعامل وإدارة‬ ‫والبنية التحتية‬
‫الطارئ‪ /‬األزمة‪/‬الكارثة)‬

‫إجراء فحص أويل‬

‫إيجاد وتنفيذ إدارة استمرارية األعامل‬

‫التدريب والتثقيف‬

‫التطبيق واالستدامة‬
‫التدريب عىل املراجعة واالستدامة إلدارة استمرارية األعامل‬

‫‪35‬‬
 ‫الشكل ‪ :2‬نموذج عمل استمرارية األعمال‬
‫‪ 6 -11-8‬المطابقة والتصديق‬

‫‪ 7-11-8‬التق ّيد والمراجعة الداخلية‬

‫تقوم المؤسسة بتخطيط ووضع وتنفيذ واستدامة برنامج لمراجعة إدارة استمرارية األعمال لديها‪.‬‬

‫‪ 1-7-11-8‬التدقيق الداخلي السنوي‬

‫تقوم المؤسسة بإجراء التدقيق الداخلي سنوياً‪ ،‬لخطة إدارة استمرارية األعمال‪ ،‬بحيث ال يقتصر فقط‪ ،‬على‬
‫تحليل التأثير على األعمال وتقييم المخاطر والعالجات والتمارين والفحوصات وبرامج التوعية ونتائج التدقيق‬
‫السابقة‪.‬‬

‫‪ 2-7-11-8‬برنامج التدقيق الداخلي‬

‫يتناول برنامج التدقيق الداخلي كافة جوانب برنامج بناء قدرة المؤسسة على إدارة استمرارية األعمال لديها‪.‬‬

‫‪ 3-7-11-8‬إجراءات التدقيق الداخلي‬

‫تقوم المؤسسة بوضع إجراءات لتنفيذ برنامجها للتدقيق الداخلي‪ ،‬ويتض َّمن ما يلي‪:‬‬
‫( أ ) المسؤوليات والكفاءات والمتطلّبات‪ ،‬لتخطيط التدقيق وتنفيذه‪ ،‬ورفع النتائج‪ ،‬واالحتفاظ بالسجالت‬
‫المرافقة‪.‬‬
‫( ب ) تحديد معايير التدقيق‪ :‬نطاقه وتكراره وأساليبه‪.‬‬

‫‪ 4-7-11-8‬تقرير التدقيق الداخلي‬

‫يت ّم توثيق نتائج التدقيق الداخلي للمؤسسة في التدقيق الداخلي‪ ،‬بحيث يحتوي على ما يلي‪:‬‬
‫( أ ) نتائج التدقيق والتوصيات المناسبة لتحسين العمل واالرتقاء به‪.‬‬
‫( ب ) الرفع لإلدارة العليا للمراجعة واالعتماد‪.‬‬

‫‪ :9‬تقييم وقياس إدارة استمرارية األعمال‬

‫‪ 1-9‬التدقيق السنوي إلدارة استمرارية األعمال‬

‫من أجل تطوير مقدرة المؤسسة على إدارة استمرارية األعمال بشكل دائم‪ ،‬تقوم المؤسسة‪ ،‬لمرة واحدة على‬
‫األقل في العام‪ ،‬بمراجعة‪:‬‬
‫( أ ) سياستها وأهدافها‬

‫‪36‬‬
 ‫الجزء األول‪ :‬المواصفات‬

‫( ب ) خططها‬
‫( ج ) فرضيات التخطيط‬
‫( د ) تخصيص الموارد‬
‫( هـ ) نتائج التمارين‬
‫( و ) نتائج التدقيق‬
‫( ز ) االجراءات الوقائية والتصحيحية‬

‫‪ 2-9‬مراجعة المو ِّردين األساسيين‬

‫تقوم المؤسسة باآلتي‪:‬‬
‫‪ 1-2-9‬التأكُّد من تقييم مو ِّرديها األساسيين‪ ،‬بشأن قدرتهم على اإليفاء بمتطلّبات تحليل التأثير على‬
‫األعمال‪.‬‬
‫‪ 2 -2-9‬تقييم مقدرة المو ِّرد‪ ،‬من خالل فحوصات وتمارين مشتركة مع المؤسسة‪ ،‬أو عبر مراجعة المؤسسة‬
‫لمدى تق ُّيد المو ِّرد بهذا المعيار‪.‬‬

‫‪ 3-9‬مراجعة العمالء والغير‬

‫يجب على المؤسسة اختبار الغير (األطراف الثالثة)‪ ،‬بشكل دوري‪ ،‬في ما يتعلق بأعمال المؤسسة التي لها تأثير‬
‫على استمرار المتعاقدين في تقديم خدماتهم‪ ،‬من أجل تحقيق أهداف إدارة استمرارية األعمال للمؤسسة‪.‬‬

‫‪ 4 -9‬المراجعة بعد الطارئ أو األزمة أو الكارثة‬

‫تجرى مراجعة وتسجيل للدروس المستفادة‪ ،‬لما بعد األحداث التي تُعيق األعمال‪ ،‬وينتج عنها تفعيل خطة إدارة‬
‫الطارئ أو األزمة أو الكارثة أو خطة إدارة استمرارية األعمال‪.‬‬

‫‪ 5-9‬التقرير السنوي لتقييم إدارة استمرارية األعمال‬

‫تضطلع المؤسسة بتلخيص تقييمها إلدارة استمرارية األعمال‪ ،‬في تقرير سنوي‪ ،‬ويشتمل التقرير على ما يلي‪:‬‬
‫( أ ) تسجيل وتقييم القدرة التي ظهرت خالل التمارين أو الطوارئ أو األزمات أو الكوارث الحقيقية‪ ،‬مقابل‬
‫أهداف االستمرارية واألداء‪ ،‬التي وردت في تحليل التأثير على األعمال‪.‬‬
‫( ب ) تحديد اإلجراءات المطلوبة لتأكيد التعافي إلدارة استمرارية األعمال‪ ،‬وتحقيق أهداف األداء التي‬
‫وردت في تحليل التأثير على األعمال‪.‬‬
‫( ج ) تحديد اإلجراءات‪ ،‬للتأكُّد من اإليفاء بأهداف األداء التي وضعتها الحكومة‪.‬‬

‫‪ :10‬مراجعة اإلدارة‬
‫‪ 1-10‬المراجعة اإلدارية لبرنامج استمرارية األعمال‬
‫تقوم اإلدارة بمراجعة قدرة المؤسسة على إدارة استمرارية األعمال في فترات دورية‪ ،‬أو عند حدوث تغ ُّيرات‬
‫هامة‪ ،‬للتأكُّد من صالحيتها‪ ،‬واالستمرار في تلبية األهداف المطروحة إلدارة استمرارية األعمال‪ ،‬على أن‬

‫‪37‬‬
‫للتحسن‪،‬‬
‫ُّ‬ ‫تجرى مراجعة اإلدارة مرة واحدة سنوياً على األقل‪ .‬وتتض َّمن مراجعة اإلدارة‪ ،‬تقييم الفرص المتاحة‬
‫والحاجة لتغييرات في سياسة استمرارية األعمال‪ ،‬وأهداف األداء‪ ،‬والخطط والعمليات واإلجراءات وفرق العمل‬
‫والمساندة‪ ،‬للتأكُّد من بقائها صالحة للتطبيق‪.‬‬

‫‪ 2-10‬توثيق مراجعة اإلدارة‬

‫يت ّم ‪ -‬بشكل واضح ‪ -‬توثيق نتائج مراجعة اإلدارة وحفظ السجالت‪.‬‬

‫‪ 3-10‬النقاط التي يجب االطالع عليها خالل المراجعة اإلدارية‪:‬‬

‫( أ ) نتائج التدقيق على إدارة استمرارية األعمال‪ ،‬مراجعات ما بعد الطارئ أو األزمة أو الكارثة الحقيقية‪،‬‬
‫ونتائج التمارين‪.‬‬
‫( ب ) وضع إدارة استمرارية األعمال‪ ،‬بالنسبة إلى المو ِّردين الرئيسيين والشركاء الذين يق ِّدمون خدمات‬
‫تعاقدية‪.‬‬
‫( ج ) مستوى المخاطر المتبقّية والمخاطر المقبولة‪.‬‬
‫( د ) نقاط الضعف‪ ،‬أو المخاطر التي لم تُعالج بصورة كافية‪ ،‬بما في ذلك‪ ،‬تلك التي وردت في التقييم‬
‫السابق للمخاطر على المؤسسة‪.‬‬
‫( ه ) التغييرات الداخلية أو الخارجية‪ ،‬التي ير َّجح أن تؤثر على مقدرة المؤسسة على إدارة استمرارية‬
‫األعمال‪.‬‬
‫( و ) نتائج التمارين واالختبارات والتقييم الذاتي‪.‬‬
‫( ز ) إنجازات برامج التدريب والتوعية‪.‬‬
‫( ح ) إجراءات المتابعة بنا ًء على التدقيقات السابقة لإلدارة‪.‬‬
‫( ط ) التوصيات ال ُمقترحة لتطوير قدرة المؤسسة على إدارة استمرارية األعمال‪.‬‬

‫‪ 4-10‬نتائج المراجعة اإلدارية‬

‫يجب أن تحتوي المراجعة اإلدارية على قرارات وتوصيات‪ ،‬من أجل‪:‬‬
‫( أ ) إصالح الخلل في مقدرة المؤسسة على إدارة استمرارية األعمال‪.‬‬
‫( ب ) تطوير فعالية مقدرة المؤسسة على إدارة استمرارية األعمال‪.‬‬
‫( ج ) الحاجة إلى التغيير بحسب ما يلي‪:‬‬
‫ •استراتيجية وإجراءات المؤسسة لالستجابة للحوادث الداخلية والخارجية التي يُمكن أن تؤثر‬
‫على استمرارية األعمال في المؤسسة‪.‬‬
‫ •احتياجات المؤسسة للموارد من أجل إدارة استمرارية األعمال‪.‬‬
‫ •ميزانية برنامج إدارة استمرارية األعمال للمؤسسة‪.‬‬
‫ •طريقة تمويل برنامج إدارة استمرارية األعمال للمؤسسة‪.‬‬

‫‪38‬‬
 ‫الجزء الثاني‪ :‬الدليل اإلرشادي‬

‫الجزء الثاني‬
‫الدليل اإلرشادي‬

‫‪39‬‬
 ‫أ‪ 1-‬مقدمة‬
‫أ‪ 1-1-‬الغرض‬
‫تق ّدم هذه الوثيقة مجموعة مشتركة من العمليات واإلجراءات التي تستخدم في وضع وتطبيق إدارة استمرارية‬
‫األعمال من قبل جميع المؤسسات‪ ،‬من أجل‪:‬‬
‫ •فهم أهداف األعمال وتحديد األنشطة األساسية‪ /‬الضرورية لألعمال‪.‬‬
‫ •اختبار مدى تأثير المخاطر في تعطّل األعمال‪.‬‬
‫ •تحليل أثر تعطّل األعمال على األنشطة األساسية‪ /‬الضرورية‪.‬‬
‫ •اتخاذ قرارات بشأن كيفية تحقيق استمرارية تلك األنشطة‪.‬‬
‫ •تطوير قدرة المؤسسة على االستمرار في تقديم األعمال األساسية‪ /‬الضرورية‪ ،‬بعد وخالل التع ُّرض‬
‫للطوارئ واألزمات والكوارث‪.‬‬
‫ •تطوير مجموعة متكاملة ومتناسقة من الخطط‪ ،‬لتحقيق المقدرة في إدارة استمرارية األعمال‪.‬‬

‫أ‪ 2-1-‬المسؤوليات‬
‫تلتزم الهيئة الوطنية إلدارة الطوارئ واألزمات والكوارث بوضع المعيار وتوفير المشورة الفنية لتطبيقه‪.‬‬

‫أ‪ 3-1-‬التسلسل الهرمي للخطط والسلطات‬

‫يت ّم وضع خطط إدارة استمرارية أعمال المؤسسات‪ ،‬في إطار من الخطط ‪،‬التي تُمكن االستعانة بها لتوفير‬
‫استمرارية الخدمات واألنشطة األساسية‪ /‬الضرورية التي تتَّسم باألهمية القصوى‪.‬‬
‫أما على مستوى الحكومة االتحادية‪ ،‬فلديها خطة وطنية لالستجابة لألزمات والطوارئ‪ ،‬التي يقوم بتطبيقها فريق‬
‫وطني إلدارة الطوارئ واألزمات والكوارث‪.‬‬
‫توجد في كل إمارة خطة داخلية لالستجابة للطوارئ واألزمات والكوارث‪ ،‬ويتولى تطبيقها فريق إدارة الطوارئ‬
‫واألزمات المحلّي‪.‬‬
‫عندما تضع الحكومة المحلية أو االتحادية‪ ،‬السلطة لرقابة األنشطة في قطاع مع ّين‪ ،‬فإنه يتو َّجب وضع خطة‬
‫االستجابة للطوارئ واألزمات والكوارث في ما يخص هذا القطاع‪ ،‬وتتولّى تنفيذها الجهة الرائدة في القطاع‪،‬‬
‫ومثال ذلك‪ ،‬تولّي هيئة تنظيم االتصاالت وضع خطة استمرارية االتصاالت في الدولة‪.‬‬
‫يعتمد أساس استمرارية جميع األعمال على الهيئات والمؤسسات الفردية في الحكومة والقطاع الخاص‪ ،‬وتتولّى‬
‫كل مؤسسة مسؤولية وضع الخطط الخاصة بها إلدارة األزمات والطوارئ‪ ،‬وتحقيق استمرارية األعمال‪.‬‬

‫أ‪ 2-‬مستوى المسؤوليات‬

‫تنويه‪ :‬تصعيد مستوى الطارئ أو األزمة أو الكارثة‬
‫في حال تزايد وقوع األزمات‪ ،‬أو حاالت الطوارئ‪ ،‬أو تعطّل األعمال على مؤسسة واحدة أو مجموعة من‬

‫‪40‬‬
 ‫الجزء الثاني‪ :‬الدليل اإلرشادي‬

‫المؤسسات األخرى‪ ،‬قد يكون من الضروري رفع األمر إلى مؤسسات من المستوى األعلى‪ ،‬ومن ثم يُمكن طلب‬
‫الحصول على الموارد اإلضافية الالزمة إلدارة الحدث واالستجابة له‪.‬‬
‫الب ّد من تدوين وتوثيق جهات االتصال وإجراءات التصعيد ودرجات التصعيد في خطط إدارة الطوارئ واألزمات‬
‫والكوارث‪.‬‬

‫أ‪ 3-‬االلتزام‬
‫أ‪ 1-3-‬التكليف في السلطة‬
‫سيت ّم تعريف الجهات المسؤولة عن اإلشراف على التزام المؤسسات بهذا المعيار‪ ،‬من قبل الجهات العليا‪.‬‬

‫أ‪ 2-3-‬الضوابط التي تحدِّ دها الجهات التشريعية‬

‫في بعض المؤسسات‪ ،‬على سبيل المثال ال الحصر‪ :‬الخدمات المالية أو المالحة الجوية أو االتصاالت أو الرعاية‬
‫الصحية‪ ،‬تكون للهيئة التنظيمية السلطة على هذه المؤسسات التي تتبعها وتعمل تحت إدارتها‪ .‬في هذه‬
‫الحالة‪ ،‬تقوم تلك الهيئة التنظيمية بوضع وتحديد متطلباتها الخاصة من المؤسسات التابعة لها‪ ،‬إلنشاء إدارة‬
‫الطوارئ واألزمات والكوارث‪ ،‬والقدرة على تحقيق إدارة استمرارية األعمال‪.‬‬
‫لقد ت َّم وضع هذه المتطلبات وفقاً إلجراءات ومبادئ إدارة الطوارئ واألزمات والكوارث واستمرارية األعمال‪،‬‬
‫التي تنطبق على مختلف المؤسسات‪.‬‬

‫يق ّدم هذا المعيار الح ّد األدنى من المتطلبات لتطوير وتعزيز إدارة استمرارية األعمال‪ ،‬وعندما تقوم إحدى‬
‫الهيئات التنظيمية بوضع المتطلبات خارج إطار المبادئ واإلجراءات المنصوص عليها في هذا المعيار‪ ،‬فإنه‬
‫نصت عليها الهيئة التنظيمية‪.‬‬
‫يجب على المؤسسة التابعة لها‪ ،‬االلتزام بالمتطلبات التي ّ‬
‫وفي حالة وجود تعارض بين متطلّبات هذا المعيار ومتطلّبات الهيئة التنظيمية‪ ،‬ينبغي على المؤسسة إرسال‬
‫طلب خطّي إلى الهيئة التنظيمية‪ ،‬بغرض االسترشاد‪ ،‬ويجب على المؤسسة االحتفاظ بنسخة من ر ّد الهيئة‪ ،‬كذلك‪،‬‬
‫لحل‬
‫ينبغي على الهيئة التنظيمية إخطار المجلس األعلى لألمن الوطني بالتعارض‪ ،‬وتقديم التوصيات المقترحة ّ‬
‫هذا التعارض‪.‬‬

‫أ‪ 4-‬إمكانية التطبيق‬

‫من أجل االلتزام بهذا المعيار‪ ،‬يجب على المؤسسة تحديد أنشطتها األساسية‪ /‬الضرورية‪ ،‬باإلضافة إلى وحدات‬
‫األعمال واإلدارات واألقسام التي يتم فيها تنفيذ هذه األنشطة‪ .‬إضاف ًة إلى ذلك‪ ،‬يجب على المؤسسة تحديد‬
‫الجهات التي تتبعها من المو ِّردين الخارجيين‪ ،‬ومق ِّدمي الخدمات‪ ،‬والشركاء الذين يق ِّدمون السلع والخدمات‬
‫الالزمة لتنفيذ تلك األنشطة‪.‬‬

‫‪41‬‬
 ‫أ‪ 5-‬النطاق‬
‫أ‪ 1-5-‬نطاق المعيار‬
‫أ‪ 2-5-‬نطاق قدرة المؤسسة على استمرارية الخدمات والمهام بها‬
‫أ‪ 1-2-5-‬األماكن والمرافق والمنتجات والوظائف والخدمات داخل النطاق‬
‫قد ال يت ّم إدراج جميع األماكن والمرافق والمنتجات والوظائف والخدمات‪ ،‬في برنامج إدارة استمرارية األعمال‬
‫الخاص بالمؤسسة‪.‬‬
‫يعتمد تعريف ما يقع داخل النطاق‪ ،‬وما هو خارجه‪ ،‬بالنسبة إلى برنامج إدارة استمرارية األعمال الخاص‬
‫بالمؤسسة‪ ،‬على قرار تتخذه اإلدارة العليا‪ ،‬بشأن ماه ّية أنشطة األعمال التي تعتبر ضرورية‪ /‬أساسية‪ ،‬في‬
‫دعم أهداف أعمال هذه المؤسسة‪ .‬ومن هذا المنطلق‪ ،‬يُمكن تحديد األماكن والمرافق والمنتجات واألنشطة‬
‫والخدمات التي تندرج في نطاق البرنامج‪ .‬كما يعتمد النطاق أيضاً‪ ،‬على اإلجراءات التي تتخذها المؤسسة‬
‫بالفعل‪ ،‬للتع ّرف على األسباب المحتملة لتعطل األعمال ومعالجتها‪ ،‬وبمعنى آخر‪ ،‬عالجات المخاطر التي تطبقها‬
‫المؤسسة‪( .‬لمزيد من التفاصيل أنظر القسم ‪ 5-8‬عن تقييم المخاطر‪ ،‬والقسم ‪ 6-8‬عن استراتيجية المخاطر‪،‬‬
‫والقسم ‪ 7-8‬عن استراتيجية استمرارية األعمال)‪.‬‬
‫أ‪ 2-2-5-‬تحديد وتخصيص الموارد المطلوبة‬
‫( أ ) للشروع في إنشاء وتطوير برنامج استمرارية األعمال الخاص بها‪ ،‬يجب على المؤسسة تحديد‬
‫الموظفين والمرافق واألجهزة واإلمدادات التي تحتاجها الفرق‪ ،‬والتي ستطور برنامج استمرارية‬
‫األعمال الخاصة بها‪ ،‬وتح ّدثه وتنفذه‪ ،‬إذ يجب على المؤسسة وضع ميزانية وخطة مشروع لتنفيذ‬
‫البرنامج‪ ،‬باإلضافة إلى وضع األهداف وأهداف األداء للفرق المشاركة ‪( .‬أنظر «نماذج مجموعة‬
‫أدوات استمرارية األعمال ‪ – »1‬للحصول على نموذج خطة مشروع استمرارية األعمال وأمثلة‬
‫مجموعة أدوات استمرارية األعمال ‪ 2‬لخطة نموذجية‪).‬‬
‫( ب ) األهداف الرئيسة ألعمال المؤسسة اليومية‪ ،‬طبقاً اللتزاماتها التنظيمية‪.‬‬
‫( ج ) عند إجراء دراسة للمخاطر‪ ،‬سيكون هناك بعض المخاطر المقبولة‪ ،‬التي ال يُمكن تج ُّنبها‪ ،‬وبعض‬
‫المخاطر التي ال يُمكن قبولها‪ ،‬وبالتالي‪ ،‬يجب إيضاحها في البرنامج‪ ،‬حيث إنها تمثل الخطر األكبر‬
‫على المؤسسة‪.‬‬
‫( د ) يجب وضع جميع االلتزامات التعاقدية مع المو ِّردين‪ ،‬أو شركات الخدمات وغيرها‪ ،‬وكذلك وضع‬
‫االلتزامات التشريعية‪ ،‬حسب القوانين والمراسيم‪ ،‬وأية التزامات تنظيمية‪.‬‬
‫( هـ ) يجب الوضع في الحسبان‪ ،‬جميع الشركاء والجهات المستفيدة من خدمات المؤسسة‪ ،‬وإعداد قائمة‬
‫تشملهم‪.‬‬

‫‪42‬‬
 ‫الجزء الثاني‪ :‬الدليل اإلرشادي‬

‫أ‪ 6-‬متطلبات إدارة استمرارية األعمال‬

‫أ‪ 1-6-‬المتطلبات‬
‫يكمن الغرض الرئيس من برنامج إدارة استمرارية األعمال‪ ،‬في تمكين المؤسسة من االستجابة على الفور‬
‫وبفاعلية‪ ،‬لحوادث تعطّل األعمال‪ ،‬والحفاظ على استمرارية أنشطتها األساسية ‪ /‬الضرورية‪.‬‬
‫ويتحقق هذا‪ ،‬من خالل تنفيذ برنامج إدارة استمرارية األعمال‪ ،‬ووضع السياسة والخطط والقدرات التي ستمكِّنها‬
‫من تحقيق أهدافها لالستجابة للطوارئ واألزمات والكوارث‪ ،‬وتحقيق استمرارية األنشطة األساسية‪/‬الضرورية‬
‫والتعافي‪ ،‬المح َّددة في تحليل التأثير على األعمال الخاص بها‪( .‬لمزيد من التفاصيل أنظر القسم ‪ 4-8‬حول‬
‫«توثيق التحليل الخاص بالتأثير على األعمال»)‪.‬‬

‫أ‪ 2-6-‬القدرة الالزمة لتحقيق استمرارية األعمال‬

‫تتل َّخص االحتياجات المطلوبة كما يلي‪:‬‬
‫أ‪-2-6-‬أ تحديد وتحليل وتوثيق المخاطر المتوقعة وتدوينها‬
‫تبدأ عملية تقييم المخاطر بتحديد التهديدات التي تؤثر على تنفيذ وأداء األنشطة األساسية‪ /‬الضرورية‪ ،‬الالزمة‬
‫لتحقيق أهداف أعمال المؤسسة‪ .‬قد تكون هذه العملية مستهلكة للوقت‪ ،‬وتتض َّمن وضع قائمة بجميع‬
‫التهديدات‪ ،‬أو من خالل وضع قائمة باألحداث التي يُحتمل أن تتس َّبب في تعطل العمليات‪ ،‬ثم يت ّم تقييم‬
‫مستوى الخطر لكل حدث‪( .‬لمزيد من التفاصيل أنظر القسم ‪ 5-8‬عن تقييم المخاطر)‪.‬‬

‫أ‪-2-6-‬ب تحديد المستوى األدنى (المقبول) من مستويات التأثير على عمل المؤسسة‪،‬‬
‫بموجب تحديد مجاالت التأثير ومستواه داخل كل مجال‪ .‬وتستطيع كل مؤسسة وضع جدول يسمى أحياناً‬
‫«جدول التأثير» ‪ ،‬إلدارة الطوارئ واألزمات والكوارث‪.‬‬
‫اآلثار‪ :‬يمتد تأثير الطوارئ واألزمات والكوارث على المؤسسة إلى عدد من المجاالت‪ ،‬من بينها‪:‬‬
‫ •العاملين – عدم التواجد أو عدم المقدرة على ممارسة األعمال‪.‬‬
‫ •الوضع المالي – الخسائر أو التكاليف التي ته ِّدد الوضع المالي‪.‬‬
‫ •التشغيل اليومي – عدم القدرة على ممارسة األعمال اليومية‪.‬‬
‫السمعة – األضرار التي تلحق بسمعة المؤسسة أو فقدان الثقة بقيادتها‪.‬‬ ‫ • ّ‬
‫ •التق ّيد – االلتزامات التعاقدية والقانونية والتنظيمية ‪ -‬من خالل العجز عن االمتثال للقانون أو شروط‬
‫رخصتها وعقودها واتفاقياتها‪.‬‬
‫المستويات‪ :‬تكمن إحدى طرق قياس التأثير‪ ،‬من خالل استخدام القيم الرقمية‪ ،‬مثل قيمة الدرهم لمعرفة األثر‬
‫المالي‪ .‬وهناك طريقة أخرى تتمثل في استخدام القيم النوعيّة‪ ،‬مثل‪ :‬مرتفع ومتوسط ومنخفض مستوى التأثير‬
‫على سمعة المؤسسة‪.‬‬
‫هناك طريقة أخرى‪ ،‬تشتمل على المزيد من القيم الكم ّية والكيفية‪ ،‬كما في المثال الموضح أدناه‪ ،‬حيث يت ّم‬
‫استخدام مقياس مك ّون من خمس نقاط‪ ،‬فيكون الرقم ‪ 1‬التأثير األدنى‪ ،‬والرقم ‪ 5‬التأثير األقصى‪ ،‬وذلك باستخدام‬
‫المعيار اآلتي‪:‬‬

‫‪43‬‬
‫‪ -1‬منخفض جدا ً‪ :‬التعطل المؤقت‪ ،‬ليس هناك تأثير على عمليات األعمال أو األنشطة األساسية‪/‬‬
‫الضرورية‪.‬‬
‫‪ -2‬منخفض‪ :‬التعطل المؤقت‪ ،‬تأثير قصير المدى على األعمال أو األنشطة األساسية‪ /‬الضرورية‪.‬‬
‫‪ -3‬متوسط‪ :‬تعطل قصير المدى أو مستمر‪ ،‬تأثير قصير المدى على عمليات األعمال وعدم القدرة على‬
‫أداء األنشطة األساسية‪ /‬الضرورية‪.‬‬
‫‪ -4‬مرتفع‪ :‬تعطل قصير أو طويل المدى أو مستمر‪ ،‬وتأثير على عمليات األعمال‪ ،‬وعدم القدرة على أداء‬
‫أغلبية األنشطة األساسية‪ /‬الضرورية‪.‬‬
‫‪ -5‬شديد االرتفاع‪ :‬تعطل طويل المدى أو مستمر‪ ،‬وتأثير على عمليات األعمال‪ ،‬وعدم القدرة على أداء‬
‫األنشطة األساسية‪ /‬الضرورية‪.‬‬
‫في إطار استراتيجية استمرارية األعمال‪ ،‬تحتاج اإلدارة العليا إلى تحديد مستويات التأثير وما هو مقبول منها‪،‬‬
‫وما هو غير مقبول‪ .‬كما أن تحديد اإلدارة لمستويات التأثير غير المقبولة‪ ،‬يح ِّدد درجة قبول المخاطر لدى‬
‫المؤسسة أو درجة تح ُّمل المخاطر‪.‬‬

‫أ‪-2-6-‬ج إيجاد آلية بشكل مستمر لتقليص الخسائر والتأثيرات غير المقبولة‬
‫اإلدارة العليا مسؤولة عن التحقق‪ ،‬من خالل تحليل المخاطر التي تنشأ عن الخسائر غير المقبولة‪ ،‬وتحديد ما‬
‫إذا كانت إجراءات معالجة المخاطر الزمة للح ّد من تلك الخسائر‪.‬‬
‫أ (‪ )1‬يجب تأهيل عدد من العاملين للقيام بأدوار الوظائف المه َّمة في المؤسسة‪ ،‬للتمكُّن من تعويض‬
‫غياب العاملين األساسيين أل ّي سبب كان‪.‬‬
‫أ (‪ )2‬يجب إبرام اتفاقيات‪ ،‬أو إعداد مرافق بديلة للمرفق بالغ األهمية‪ ،‬مثل غرف العمليات الرئيسة في‬
‫المؤسسة‪ ،‬حيث يُمكن وضع غرف عمليات بديلة في موقع بعيد‪ ،‬الستخدامها عند التع ُّرض لتعطل‬
‫في الموقع الرئيس‪.‬‬
‫أ (‪ )3‬يجب دائماً االحتفاظ بنسخ احتياطية من السجالت المه َّمة للمؤسسة‪ ،‬وكذلك وضع آلية لتعويض‬
‫أي من الممتلكات أو األصول األساسية‪.‬‬
‫أ (‪ )4‬يجب أن تكون هناك خطة استمرارية أعمال خاصة بتقييم المعلومات‪ ،‬حيث تتطلَّب عددا ً من‬
‫االجراءات الخاصة بتقييم المعلومات واالتصاالت‪.‬‬
‫أ (‪ )5‬يجب ‪ -‬كذلك ‪ -‬إيجاد مصادر بديلة للمو ِّردين الخارجيين‪ ،‬وصياغة اتفاقيات أو مذكرات تفاهم‪ ،‬مع‬
‫تلك الجهات‪ ،‬في حال عجز المو ِّردين الرئيسيين عن الوفاء بالتزاماتهم نحو المؤسسة‪ ،‬وذلك لضمان‬
‫استمرار سلسلة اإلمداد وعدم تأثير التعطل على أعمال المؤسسة‪.‬‬

‫أ‪-2-6-‬د التع ّرف على أهداف االسترداد والتعافي لألنشطة األساسية‪ /‬الضرورية‬
‫يجب تحديد الزمن األقصى‪ ،‬الذي يجب على المؤسسة خالله استرجاع الح ّد األدنى المطلوب لتقديم األعمال‬

‫‪44‬‬
 ‫الجزء الثاني‪ :‬الدليل اإلرشادي‬

‫األساسية‪ /‬الضرورية‪ .‬يت ّم ذلك‪ ،‬من خالل وضع جدول زمني يوضح الخدمة والزمن الالزمين السترجاعها‪ ،‬إلى أن‬
‫تصل إلى الحد الذي يمكّن المؤسسة من تحقيق أهداف التعافي المح َّددة مسبقاً في الخطة‪ ،‬ويتم الحصول‬
‫على هذه المعلومات من خالل إجراء تحليل التأثير على األعمال «‪.»BIA‬‬

‫أ‪-2-6-‬هـ وضع واستدامة وتطبيق خطط لالستجابة واستمرارية األعمال للنشاطات الضرورية واألساسية‪.‬‬
‫يجب أن تب ِّين خطة إدارة حوادث المؤسسة‪ ،‬لإلدارة العليا وفريق إدارة الحوادث‪ ،‬بيانات االتصال ومعايير‬
‫التقييم وبروتوكوالت التصعيد وخطط العمل الالزمة لتقديم التوجيه والتنسيق االستراتيجي‪ ،‬أثناء وقوع حادث‬
‫ما‪ ،‬إلدارة االستجابة له واستمراريته والتعافي منه‪ .‬ويهدف هذا إلى‪:‬‬
‫ •ضمان سالمة الموظفين الذين يتأثرون بالطوارئ واألزمات والكوارث‪ ،‬واالستجابة للخطة‪.‬‬
‫ •تقييم أثر التعطل‪.‬‬
‫ •تنسيق جهود االستمرارية والتعافي لفرق استمرارية األعمال‪.‬‬
‫منسقة و ُمدارة‪ ،‬للمعنيين الداخليين والخارجيين‪ ،‬بما في ذلك وسائل اإلعالم‪.‬‬
‫ •توفير اتصاالت َّ‬
‫ •حماية أصول المؤسسات والموارد من األضرار والخسائر المستقبلية‪.‬‬
‫(انظر «نماذج مجموعة أدوات استمرارية األعمال ‪ – 1‬لالطالع على نموذج خطة إدارة الحوادث» وأمثلة مجموعة‬
‫األدوات ‪ 2‬الستمرارية األعمال ‪ -‬الخطة النموذجية‪).‬‬
‫تق ِّدم خطة استمرارية أعمال المؤسسة‪ ،‬التوجيه واإلرشاد الالزمين لموظفي الدعم واألعمال‪ ،‬من أجل تنفيذ‬
‫األنشطة األساسية‪ /‬الضرورية في موقع عمل بديل‪ ،‬أو بطاقة مخفّضة في موقع العمل الرئيس‪.‬‬
‫(انظر «نماذج مجموعة أدوات استمرارية األعمال ‪ – 1‬لالطالع على نموذج خطة مشروع استمرارية األعمال‬
‫ومجموعة أدوات استمرارية األعمال ‪ - 2‬الخطة النموذجية)‪.‬‬
‫تشتمل خطة التعافي للمؤسسة‪ ،‬عندما تكون هناك حاجة لوضع خطة ما‪ ،‬على وضع التوجيهات واإلرشادات‬
‫للعملية واألنشطة المشتركة‪ ،‬باالنتقال من العمل بقدرة عادية‪ ،‬إلى الوضع العادي‪ ،‬والعمل على النحو المعتاد‬
‫بعد الطوارئ واألزمات والكوارث‪.‬‬
‫يجب وضع خطة مستقلة للتعافي من الطوارئ واألزمات والكوارث‪ ،‬بخصوص تكنولوجيا المعلومات‪ ،‬التي تدعم‬
‫استمرارية األنشطة األساسية‪ /‬الضرورية للمؤسسة‪ ،‬والخاصة بالبنية التحتية لهذه التكنولوجيا‪ .‬وتق ِّدم خطة‬
‫التعافي من الكوارث لتكنولوجيا المعلومات‪ ،‬التوجيهات واإلرشادات الالزمة لموظفي تكنولوجيا المعلومات‪ ،‬من‬
‫أجل استعادة االستخدام والوصول إلى المعلومات والبيانات وأنظمة االتصاالت الالزمة‪ ،‬لتنفيذ األنشطة الحرجة‬
‫الخاصة بالمؤسسة‪ .‬تقوم إدارة تكنولوجيا المعلومات‪ ،‬بوضع خطة التعافي من الكوارث لتكنولوجيا المعلومات‪،‬‬
‫أو قد يقوم المورد التابع لإلدارة بوضعها من أجل الحفاظ على نظم تكنولوجيا المعلومات واالتصاالت‪( .‬لمزيد‬
‫من التفاصيل انظر القسم ‪ 2-8-8‬والقسم ‪)3-8-8‬‬

‫أ‪-2-6-‬و التأكُّد من امتالك المقدرة على استدامة واستمرارية الوظائف والخدمات األساسية والضرورية‪ .‬يجب‬

‫‪45‬‬
‫وضع خطط تسمح بمستوى مع َّين من االستجابة‪ ،‬يتناسب مع درجة خطورة الطوارئ واألزمات والكوارث‪ ،‬عوضاً‬
‫عن البدء بطلب كامل لبدء المساعدة عند بداية كل حادث‪ ،‬حيث يجب على المؤسسة تفعيل فرق إدارة‬
‫الحوادث فيها‪ ،‬إلى مستوى مناسب لمستوى الحدث‪ ،‬وكم المعلومات المتاحة بشأن أثر الطوارئ واألزمات‬
‫والكوارث‪.‬‬
‫من أجل اإلعداد للحاالت التي قد يكون فيها نقص في الموارد المطلوبة لالستجابة لطارئ أو أزمة أو كارثة‬
‫أكبر‪ ،‬ينبغي على المؤسسة تحديد الموارد اإلضافية‪ ،‬التي يمكن طلبها من أجل تقديم المساعدة والدعم‪ ،‬إذ‬
‫قد يشتمل هذا على تفعيل الفرق من المؤسسات األخرى للمساعدة في االستجابة‪ ،‬وقد يشتمل ذلك على‬
‫طلب الحصول على مساعدة أخرى من السلطات المحلية‪ ،‬أو على رفع حادث اإلدارة إلى الفرق خارج المنطقة‬
‫المتأثرة بالطوارئ واألزمات والكوارث‪.‬‬
‫كلما أصبح تأثير حالة الطوارئ واألزمات والكوارث‪ ،‬أكثر ح ّدة‪ ،‬فإن ذلك يتطلَّب المزيد من الموارد لعمل‬
‫االستجابة المبدئية‪ ،‬بدالً من العمليات المعتادة‪ .‬ففي بعض الحاالت‪ ،‬قد تكون الحاجة للحصول على دعم من‬
‫الموارد البشرية وتكنولوجيا المعلومات وخدمات المباني‪ ،‬أكثر مرتين أو ثالث مرات من الطبيعي‪ .‬في الوقت‬
‫ذاته‪ ،‬سيكون هناك نقص في بعض مستويات األداء أو «مواعيد اإلنجاز» لألنشطة التي تتأثر بشكل أكثر بسبب‬
‫تعطل األعمال‪.‬‬
‫في هذه الحالة‪ ،‬تحتاج اإلدارة إلى إعطاء األولويات لمهامها‪ ،‬ووضع توقعاتها للعمل الذي سيتم إكماله‪ ،‬والفترة‬
‫الزمنية التي ستستغرقها إلتمام ذلك‪ ،‬طوال فترة عملها في «حالة األزمات»‪.‬‬
‫وتُمكن االستعانة بتحليل التأثير على األعمال‪ ،‬لضبط التوقّعات لمستوى األداء ووقت التعافي والموارد المطلوبة‬
‫الستعادة استمرارية العمليات‪ .‬وإلى أن تت ّم تلبية تلك المتطلبات‪ ،‬تحتاج المؤسسات إلى إعطاء األولويات في‬
‫ما يتعلق بتخصيص مواردها المحدودة‪ ،‬وضبط توقعات األداء في جميع الوحدات واإلدارات والعمليات التابعة‬
‫ألعمال تلك المؤسسة‪( .‬لمزيد من التفاصيل انظر القسم ‪ 8-8‬عن خطة استمرارية األعمال)‪.‬‬

‫أ‪-2-6-‬ز التأكُّد من تدريب العاملين للقيام بأدوارهم ومسؤولياتهم في إدارة استمرارية األعمال‬
‫يتطلب برنامج استمرارية األعمال أن يكون جميع الموظفين‪ ،‬الموكلة إليهم أدوار ومسؤوليات في وضع البرنامج‬
‫وتطبيقه‪ ،‬باإلضافة إلى إجراء االستجابة واالستمرارية والتعافي من الطوارئ واألزمات والكوارث‪ ،‬قد ت َّم تدريبهم‬
‫وتأهيلهم على المهارات المطلوبة‪ ،‬ألداء األدوار ال ُمسندة إليهم‪.‬‬
‫(انظر «نماذج مجموعة أدوات استمرارية األعمال ‪ – 1‬لالطالع على سجل التدريب الستمرارية األعمال ومجموعة‬
‫أدوات استمرارية األعمال ‪ 2‬خطة تدريب نموذجية)‬
‫( أنظر «تدريب المجموعة ‪ 3‬الستمرارية األعمال» لالطالع على برنامج تدريبي موصى به لكل دور ومقدمي‬
‫خدمات التدريب الموصى بها)‬

‫أ‪-2-6-‬ح إجراء التمارين المنتظمة للتأكُّد من كفاءة خطة إدارة استمرارية األعمال‪ ،‬وتدريب وممارسة العاملين‬

‫‪46‬‬
 ‫الجزء الثاني‪ :‬الدليل اإلرشادي‬

‫على تلك المهام‬

‫تُعتبر التمارين ضرورية لضمان أن الموظفين‪ ،‬الموكلة إليهم األدوار والمسؤوليات‪ ،‬في برنامج استمرارية‬
‫األعمال‪ ،‬قادرون على تنفيذ تلك األعمال‪ ،‬في بيئة تدريبية خاضعة للسيطرة والتحكُّم‪.‬‬
‫تق ِّدم التمارين والتدريبات أيضاً‪ ،‬الفرصة لتحديد ما إذا كانت محتويات خطط استمرارية أعمال المؤسسة‬
‫سارية‪ ،‬وما إذا كانت اإلجراءات التي تحتويها هذه الخطط‪ ،‬مح ّدثة ومناسبة للتدريب المق َّدم لهؤالء الموظفين‪،‬‬
‫الذين يتولّون تنفيذ الخطط‪ .‬ويجب أن يت ّم تنفيذ هذه التمارين بشكل منتظم وعلى مختلف المستويات‪.‬‬

‫سجل تقييم المخاطر‪ ،‬وتحليل التأثير على أعمال المؤسسة‪ ،‬وفرضيات التخطيط إلدارة‬ ‫أ‪-2-6-‬ط تحديث ّ‬
‫استمرارية األعمال والخطط الخاصة باالستجابة للتغ ّيرات المادية في تنظيم المؤسسة وبنيتها التحتية والعاملين‬
‫فيها وموقع إدارة عمليات المؤسسة‪.‬‬
‫يُمكن أن تحدث تغييرات كبيرة‪ ،‬عند إجراء أية تغييرات على‪:‬‬
‫ •األهداف االستراتيجية‬
‫ •حجم المؤسسة‬
‫ •اإلدارة العليا‬
‫ •الموظفين األساسيين‬
‫ •الخدمات‬
‫ •األنشطة التي تتطلَّب تنفيذ هذه الخدمات‬
‫ •األماكن‬
‫ •األدوات والمعدات المستخدمة لتنفيذ تلك األنشطة (بما في ذلك تكنولوجيا المعلومات)‬
‫ •اإلمدادات والمو ِّردين ومق ِّدمي الخدمات‬
‫عندما يت ّم إدخال هذه التغييرات‪ ،‬يجب على المؤسسة النظر بعين االعتبار إلى مراجعة تقييم المخاطر الخاصة‬
‫بها‪ ،‬وتحليل التأثير على األعمال واستراتيجية استمرارية األعمال‪ ،‬لتحديد ما إذا كانت بحاجة إلى المراجعة‬
‫والتحديث‪.‬‬
‫عندما تُسفر التغييرات عن تحديث أو تعديل خطط استمرارية األعمال أو إدارة الحوادث‪ ،‬قد تحتاج المؤسسة‬
‫إلى التأكُّد من تحقيقها للغرض‪ ،‬من خالل إجراء تمرين قد ال يكون مبرمجاً‪.‬‬

‫أ‪ 7-‬وثائق وسجالت إدارة استمرارية األعمال‬

‫أ‪ 1-7-‬الوثائق المطلوبة‬
‫أ‪ 1-1-7-‬يجب أن يكون مستوى التفاصيل في وثائق استمرارية األعمال الخاصة بالمؤسسة‪ ،‬كافياً لوصف عملية‬
‫إدارة استمرارية األعمال‪ ،‬وتحديد العناصر‪ ،‬وكيفية تكاملها‪.‬‬
‫يجب أن يكون إعداد هذه الوثائق في صيغة مفهومة ومو َّحدة‪ ،‬وأن يكون التركيز على توفير التجهيز واالستجابة‬

‫‪47‬‬
‫الستمرارية األعمال‪ ،‬والمحافظة على فعاليتها‪ ،‬لذلك‪ ،‬يجب التأكُّد من عدم جعل هذه الوثائق معقَّدة‪ ،‬أو أن‬
‫يكون النظام كثير التعقيد‪.‬‬
‫يُمكن أن يختلف نطاق وثائق برنامج استمرارية األعمال من مؤسسة إلى أخرى‪ ،‬ويتوقّف ذلك على حجم‬
‫المؤسسة‪ ،‬وطبيعة عملها‪ ،‬ومدى تنوع الخدمات أو األنشطة التي تقوم بها‪ ،‬وكذلك‪ ،‬على مدى خبرة الموظفين‬
‫في مجال إدارة الطوارئ واألزمات واستمرارية األعمال‪.‬‬

‫أ‪ 2-1-7 -‬يجب أن تحتوي وثائق برنامج إدارة استمرارية األعمال ‪ -‬في الح ّد األدنى ‪ -‬على الوثائق التالية‪:‬‬
‫( أ ) مفهوم وأهداف إدارة استمرارية األعمال‪ ،‬بما في ذلك المحدوديات‪.‬‬
‫( ب ) سياسة إدارة استمرارية األعمال‪.‬‬
‫( ج ) إمكانية توفير الموارد الخارجية‪.‬‬
‫( د ) سجالت تتعلّق بمستوى كفاءة العاملين المشاركين في برنامج إدارة استمرارية األعمال‪ ،‬وسجالت‬
‫التدريب الخاصة بهم‪.‬‬
‫( ه ) تحليل التأثير على األعمال ( ‪ ) BIA‬بنا ًء على سجل المخاطر للمؤسسة‪.‬‬
‫سجل تقييم المخاطر‪.‬‬ ‫(و) ّ‬
‫( ز ) استراتيجية إدارة استمرارية األعمال‪.‬‬
‫( ح ) خطة االستجابة للطارئ أو األزمة أو الكارثة‪.‬‬
‫( ط ) خطة إدارة استمرارية األعمال‪ ،‬وخطة إدارة الطارئ أو األزمة أو الكارثة‪.‬‬
‫سجل مراجعات التمارين ونتائج االختبار إلدارة استمرارية األعمال‪.‬‬ ‫(ي) ّ‬
‫سجل المراجعة والتطوير المستمر لبرنامج إدارة استمرارية األعمال‪.‬‬ ‫(ك) ّ‬
‫( ل ) عمليات التدقيق الداخلي لبرنامج إدارة استمرارية األعمال‪.‬‬
‫سجل االجراءات الوقائية والتصحيحية والدروس ال ُمستفادة من التمارين‪.‬‬ ‫(م) ّ‬
‫سجل مراجعة اإلدارة السنوي‪.‬‬ ‫(ن) ّ‬
‫(انظر «نماذج مجموعة أدوات استمرارية األعمال ‪ »1‬و«نماذج مجموعة استمرارية األعمال ‪).»2‬‬

‫أ – ‪ 2 – 7‬السيطرة على الوثائق والسجالت الخاصة بإدارة استمرارية األعمال‪.‬‬

‫السمات اآلتية في الوثائق والسجالت الخاصة بإدارة استمرارية األعمال‪.‬‬ ‫أ – ‪ 1 – 2 – 7‬يجب أن تتوافر ِّ‬
‫من أجل التمكُّن من االستفادة من الوثائق‪ ،‬والمحافظة عليها واستخراجها وحفظها بشكل مناسب‪ ،‬تجب مراعاة‬
‫النقاط التالية‪:‬‬
‫( أ ) طباعة هذه الوثائق بأكثر من لغة‪ ،‬طبقاً لطبيعة المؤسسة وجنسيات موظفيها‪ ،‬السيما المشاركين‬
‫في تنفيذ الخطة أو المهمة‪ ،‬أو لهم أدوار ومسؤوليات فيها‪ ،‬ولكن‪ ،‬على كل حال‪ ،‬يجب توافر نسخة‬
‫باللغة العربية‪ ،‬وأخرى باإلنجليزية بح ٍّد أدنى‪.‬‬

‫‪48‬‬
 ‫الجزء الثاني‪ :‬الدليل اإلرشادي‬

‫( ب ) حفظها بطريقة تمكِّن العاملين من تمييزها‪ ،‬والوصول إليها بسهوله عند الحاجة‪ ،‬ويفضَّ ل أن تكون بلون مم َّيز‪.‬‬
‫( ج ) التأكُّد من‪ ،‬وتصديق مطابقة الوثائق مع المعيار‪ ،‬من قبل لجنة التوجيه في المؤسسة‪.‬‬
‫( د ) إجراء مراجعة بشكل مستمر لجميع الوثائق‪ ،‬وفي حال إجراء تعديل أو إضافة أو إلغاء على الوثائق‬
‫المستخدمة في هذا المعيار‪ ،‬فإنه يتم اعتمادها مرة أخرى من اللجنة‪.‬‬
‫( هـ ) توفير نسخ من الخطة‪ ،‬أو من التعليمات المطلوبة في الخطة‪ ،‬أو وضع لوائح جدارية في المواقع‬
‫الرئيسة والمواقع البديلة (إن وجدت) ‪ ،‬وكذلك في جميع فروع المؤسسة‪ ،‬وتوفير الوثائق المه َّمة‬
‫المطلوبة بتلك األحكام‪.‬‬
‫( و ) في حال ت َّم استخدام وثائق أو معلومات من مصادر خارجية‪ ،‬يت ّم تحديد مصادرها‪ ،‬وبيان ذلك في‬
‫جميع الوثائق ال ُمستخدمة‪.‬‬
‫( ز ) يجب عمل نظام توزيع ورقابة على الوثائق‪ ،‬من أجل السيطرة‪ ،‬والتأكُّد من القيام بتزويد جميع‬
‫النسخ الموجودة في جميع المواقع‪ ،‬بأية تحديثات قد تكون مه َّمة وضرورية‪.‬‬

‫أ‪ 8-‬برنامج استمرارية األعمال‬

‫أ‪ 1-8-‬وضع برنامج استمرارية األعمال‬
‫باإلضافة إلى ما جاء في الجزء األول من هذا المعيار‪ ،‬يت ّم في بعض الحاالت‪ ،‬تعيين أحد أعضاء اإلدارة العليا‪،‬‬
‫الذي يعرف باسم راعي برنامج استمرارية األعمال في المؤسسة‪ ،‬إذ يتحمل مسؤولية البرنامج كامل ًة‪ .‬وينبغي‬
‫أن يتمتع هذا الشخص بالقدرة على القيادة والسلطة المناسبتين‪ ،‬حتى يتمكَّن من ممارسة القيادة التنفيذية‪،‬‬
‫وضمان وضع برنامج استمرارية األعمال للمؤسسة‪ ،‬وتحديثه وتنفيذه بفعالية‪.‬‬
‫ويُسمى هذا الشخص في العديد من المؤسسات‪« :‬مدير استمرارية األعمال»‪ .‬وقد يكون هذا العمل متف ِّرغاً أو‬
‫إضافياً‪ ،‬إذ يتوقف هذا على حجم المؤسسة‪ .‬وللتحقّق من أهمية الواجبات والمسؤوليات المصاحبة لبرنامج‬
‫استمرارية األعمال‪ ،‬يجب أن يشتمل المنصب على العناصر المح ِّددة الستمرارية األعمال‪ ،‬ودمجها في التوصيف‬
‫الوظيفي‪ .‬كما يجب أن يشتمل على إنجاز تلك الواجبات المأخوذة في االعتبار‪ ،‬كجزء من المراجعة السنوية‬
‫لألداء الوظيفي‪ .‬وتتولى وظيفة التدقيق الداخلي في المؤسسة‪ ،‬مراجعة تكليفات مناصب وواجبات برنامج‬
‫استمرارية األعمال‪ ،‬كجزء من تقييم البرنامج السنوي الخاص بالمؤسسة‪.‬‬
‫يجب أن يت ّم توفير الوعي والتعليم والتدريب الالزم‪ ،‬للموظفين المكلَّفين بشغل المناصب وأداء الواجبات‬
‫واألدوار والمسؤوليات في برنامج استمرارية األعمال‪ ،‬وذلك حتى يتس ّنى لهم الوفاء بمسؤولياتهم المعنية‬
‫بتشغيل برنامج استمرارية األعمال للمؤسسة والحفاظ عليه‪.‬‬
‫ينبغي توفير إثبات فعالية قدرة المؤسسة على استمرارية األعمال‪ ،‬من خالل التدريبات واالختبارات‪ ،‬على أن‬
‫يتم ذلك بصورة سنوية على األقل‪( .‬أنظر القسم ‪ 10-8‬لمزيد من التفاصيل‪).‬‬

‫‪49‬‬
 ‫أ‪ 2-8-‬مشاركة اإلدارة العليا‬
‫على مدير البرنامج في المؤسسة‪ ،‬التأكُّد من مفهوم وأهداف خطة استمرارية األعمال في المؤسسة‪ ،‬وأنها‬
‫موضحه بشكل ج ِّيد في وثيقة إدارة المشروع‪ ،‬والتي تس َّمى في بعض األحيان «وثيقة مشروع استمرارية‬
‫األعمال»‪.‬‬
‫أ‪ 1-2-8-‬يجب أن تشتمل هذه الوثيقة على نطاق المشروع‪ ،‬وخطة الموارد والمرافق واألجهزة والمواد المطلوبة‬
‫لتطوير برنامج قدرة استمرارية األعمال‪ ،‬لتحديد تسلسل األنشطة واألطر الزمنية المطلوبة لتطوير البرنامج‪.‬‬
‫يجب أن تح ِّدد وثيقة نطاق المشروع‪ ،‬ما يلي‪:‬‬
‫ •األهداف المتَّفق عليها‪ ،‬وأولويات األعمال‪.‬‬
‫ •ال ُمنجزات المطلوبة أثناء المشروع‪ ،‬وتوقيتات تسليم كل من المنتجات األولية والمنتجات النهائية‪.‬‬
‫ •جميع المعايير أو المتطلبات التنظيمية التي يجب الوفاء بها‪.‬‬
‫ •جميع االفتراضات التي يُمكن على أساسها تقديم بيانات بالمخاطر أو التأثيرات‪.‬‬
‫ •األماكن و‪ /‬أو وظائف األعمال التي يجب اشتمالها أو استثنائها من برنامج قدرة استمرارية األعمال‪.‬‬
‫ •درجة المخاطر (وهذا هو مستوى الخطر الذي يقتضي إجراء معالجة أو استجابة للخطر)‪.‬‬
‫ •جميع المخاطر المح ّددة إلنجاح المشروع‪.‬‬
‫ •الهيكل التنظيمي لبرنامج إدارة استمرارية أعمال المؤسسة (األدوار والمسؤوليات)‪.‬‬
‫يجب إجراء تقييم لمقارنة القدرة الحالية للمؤسسة‪ ،‬مقابل المستوى المطلوب من قبل المعيار أو المتطلّبات‬
‫المدعمة للجهة التنظيمية‪ .‬ويجب وضع نتائج هذا التقييم في تقرير بيان قابلية التطبيق‪ ،‬وتقديمه إلى إلدارة‬
‫العليا‪ ،‬لتسليط الضوء على الفجوات التي يجب التعامل معها في تحسين قدرة برنامج استمرارية أعمال‬
‫المؤسسة‪ ،‬واالرتقاء به‪ .‬ويجب وضع تقرير تقييم القدرة وبيان قابلية التطبيق ودمجه مع المراجعة السنوية‬
‫ألداء قدرة استمرارية أعمال المؤسسة‪( .‬انظر «نماذج مجموعة أدوات استمرارية األعمال ‪ »1‬لالطالع على وثيقة‬
‫نطاق المشروع وبيان إمكانية التطبيق‪).‬‬

‫أ‪ 2-2-8 -‬إضاف ًة إلى توفير الموارد لتطوير برنامج قدرة استمرارية أعمال المؤسسة‪ ،‬يجب ‪ -‬أيضاً ‪ -‬على اإلدارة‬
‫العليا‪ ،‬توفير الموارد المطلوبة‪ ،‬لضمان أن البرنامج ال يزال سارياً‪ .‬وينبغي أن يحتوي ذلك على‪:‬‬
‫ •تعيين فرد أو فريق إلدارة استمرارية األعمال‪.‬‬
‫ •تحديد نطاق عملية اإلدارة وبرنامج إدارة استمرارية األعمال‪.‬‬
‫ •على الشخص المسؤول الذي ت َّم تعيينه إلدارة استمرارية األعمال‪ ،‬التأكُّد من‪ ،‬والحفاظ على‪:‬‬
‫ •تطوير عملية موثقة‪ ،‬واعتمادها لتخطيط برنامج إدارة استمرارية األعمال وتطويره‪.‬‬
‫ •تحديد وتدوين المنهج لتطبيق كل مرحلة من برنامج إدارة استمرارية األعمال‪.‬‬
‫ •ضمان توفير مستويات مناسبة من التدريب للفرق المسؤولة عن تطبيق برنامج استمرارية‬
‫األعمال‪.‬‬

‫‪50‬‬
 ‫الجزء الثاني‪ :‬الدليل اإلرشادي‬

‫ •إطالع وتدريب الموظفين في اإلدارات التشغيلية في األماكن األساسية‪ ،‬من أجل‪:‬‬

‫ •التعامل كنقطة اتصال ألنشطة برنامج إدارة استمرارية األعمال‪ ،‬التي تؤثر على اإلدارة أو المكان‪.‬‬
‫ •مساعدة اإلدارة في تحديد تأثير تغييرات العمليات على قدرة استمرارية أعمال المؤسسة‪.‬‬
‫تحديث خطة استمرارية أعمال المؤسسة أو الخطط الفرعية‪ ،‬لضمان بقائها سارية‪ ،‬ومتوافقة مع التغييرات التي‬
‫أثرت على قدرة استمرارية أعمال المؤسسة‪.‬‬
‫مساعدة أو قيادة اإلدارة أو استجابة المكان وتعافيه من األنشطة األساسية‪ /‬الضرورية في حالة تعطل األعمال‪.‬‬
‫من الضروري لبرنامج استمرارية أعمال المؤسسة‪ ،‬أن يتض َّمن جميع المهام المطلوبة لتنفيذ قدرة استمرارية‬
‫األعمال والمحافظة عليها‪ ،‬وأن يكون قد ت َّم إسنادها إلى أفراد مؤ َّهلين‪ ،‬ألداء تلك المهام وتنفيذها على النحو‬
‫المطلوب منه‪ .‬كما أنه من الضروري بالنسبة إلى أداء تلك المهام‪ ،‬مراقبتها‪ ،‬لضمان إتمامها وتحقيق أهداف‬
‫المؤسسة الخاصة باستمرارية األعمال‪.‬‬
‫قد يت ّم تشكيل فرق إضافية‪ ،‬للمساعدة في تطوير إدارة استمرارية األعمال‪ ،‬كالتالي‪:‬‬
‫ •فريق برنامج إدارة استمرارية األعمال أو اللجنة التوجيهية ‪ -‬وهي عبارة عن مجموعة إدارة استراتيجية‪،‬‬
‫مؤلَّفة من مديرين تنفيذيين ومسؤولين‪ ،‬أو مدراء أقسام‪ ،‬وتتل َّخص وظيفتهم بإسداء المشورة واإلرشاد‬
‫واإلشراف اإلداري‪.‬‬
‫ •فريق إدارة الحوادث – وهو فريق تكتيكي رفيع المستوى‪ ،‬مؤلَّف من ممثلين من كافة الفرق المشاركة‬
‫حل مشاكل التنسيق‪ ،‬والمساعدة في تحديد‬ ‫في االستجابة للحوادث‪ ،‬وتتل َّخص مه َّمة هذا الفريق في ّ‬
‫المتطلّبات التدريبية‪.‬‬
‫ •فرق استمرارية األعمال واالستجابة لها – تتألَّف الفرق التشغيلية من ممثلين من كل إدارة تشارك في‬
‫االستجابة لالستمرارية واستعادتها‪ ،‬وتتل َّخص مه َّمة هذه الفرق‪ ،‬في وضع خطط استمرارية األعمال‬
‫لإلدارة أو المكان‪ ،‬وتنفيذها‪.‬‬
‫ •يجب تعريف السياسة في هذه المرحلة‪ ،‬مع األخذ في االعتبار‪ ،‬دعم هذه السياسة الحقاً‪ ،‬بحسب‬
‫تطور البرنامج‪.‬‬

‫أ‪ 3-8-‬تحليل التأثير على األعمال (‪)BIA‬‬

‫هناك دورات تدريبية‪ ،‬لتأهيل العاملين في البرنامج على القيام بتحليل التأثير على األعمال للمؤسسة التي‬
‫متخصصة للقيام بهذه المه َّمة لصالح المؤسسة‪ .‬أدناه‪ ،‬موضح‬
‫ِّ‬ ‫يعملون فيها‪ ،‬وكذلك‪ ،‬تُمكن االستفادة من مراكز‬
‫ماهية هذا التحليل بشكل عام‪.‬‬
‫يُعتبر تحليل التأثير على األعمال‪ ،‬األساس الذي يُبنى عليه برنامج استمرارية األعمال الخاصة بالمؤسسة‪ ،‬فهو‬
‫يح ِّدد ويقيس تأثير انقطاع األعمال أو تعطل بعض أو جميع أنشطة األعمال‪ ،‬وتقديم البيانات المطلوبة لتحديد‬
‫االستراتيجيات المناسبة لالستمرارية في تقديم تلك األعمال‪.‬‬
‫تُمكن االستعانة بتحليل التأثير على األعمال‪ ،‬للتع ُّرف على المقياس الزمني‪ ،‬ومدى التعطل على المستويات‬

‫‪51‬‬
 ‫االستراتيجية والتكتيكية والتشغيلية في أعمال المؤسسة‪ .‬على سبيل المثال‪:‬‬
‫ •االستراتيجي‪ :‬يمكن أن تت ّم االستعانة بفقدان القدرة على تقديم المنتج أو الخدمة‪ ،‬للمساعدة في‬
‫تقرير نطاق برنامج استمرارية أعمال المؤسسة‪.‬‬
‫ •التكتيكي‪ :‬يُمكن أن تتم االستعانة بتعطّل األنشطة الداخلية والخارجية‪ ،‬التي يُمكن أن توقف توفير‬
‫المنتجات والخدمات‪ ،‬لتقديم المعلومات المتعلقة باختيار خيارات االستمرارية المناسبة‪ ،‬وتحديد‬
‫الموارد المطلوبة لتنفيذ هذه الخيارات‪.‬‬
‫ •التشغيلي‪ :‬قد تت ّم االستعانة بتعطل أنشطة إدارة األعمال‪ ،‬للمساعدة في إعداد الخطط التفصيلية‪،‬‬
‫الستجابتها والتعافي من أنشطتها األساسية‪ /‬الضرورية للمستويات المطلوبة‪ ،‬للوفاء بأهداف أداء قدرة‬
‫استمرارية أعمال المؤسسة‪.‬‬
‫كما يجب أن تفيد اإلدارة العليا‪ ،‬أيضاً‪ ،‬في مسألة تحديد أي من المنتجات أو الخدمات‪ ،‬وأهميتها في حاالت‬
‫الطوارئ واألزمات والكوارث؛ فبدالً من اشتمال جميع المنتجات والخدمات‪ ،‬يُمكن تنفيذ تحليل التأثير على‬
‫األعمال فقط‪ ،‬على المنتجات والخدمات التي ت َّم تصنيفها بالفعل بأنها مه َّمة وضرورية‪.‬‬
‫تت ّم االستعانة‪ ،‬أيضاً‪ ،‬بتحليل التأثير على األعمال‪ ،‬لتحديد األطر الزمنية التي تنبغي استعادة المنتجات والخدمات‬
‫األساسية‪ /‬الضرورية خاللها‪ ،‬واألصول (المرافق والموظفين واألنظمة والمواد) المطلوبة لتقديم تلك المنتجات‬
‫والخدمات‪ ،‬ومستويات األداء المطلوبة لتحقيق أهداف التعافي للمؤسسة‪.‬‬
‫تحليل التأثير على األعمال يتبع حلقة النشاط الموضحة في الشكل التالي‪:‬‬

‫‪1‬‬
‫فهم ودراسة‬
‫مهام املؤسسة‬
‫‪6‬‬ ‫بشكل دقيق‬ ‫‪2‬‬
‫تأكيد ووضع‬ ‫فهم ودراسةاملهام‬
‫أولوية للمهام األساسية‬ ‫يف كل مرحلة عىل حدة‬
‫والرضورية باملؤسسة‬ ‫والنشاطات والخدمات‬
‫تحليل التأثير‬ ‫الخاصة بها‬
‫على األعمال‬
‫‪5‬‬ ‫(‪)BIA‬‬
‫تحديد مستوى‬ ‫‪3‬‬
‫أثر توقف العمل‬ ‫تحديد املستوى‬
‫وأهداف استمرارية‬
‫األعامل‬ ‫‪4‬‬ ‫العادي واألدىن من‬
‫متطلبات املوارد‬
‫تحديد‬
‫االعتامد الداخيل‬
‫والخارجي املتبادل‬
‫بني اإلدارات‬

‫هناك طرق عديدة إلجراء تحليل التأثير على األعمال‪ ،‬منها‪:‬‬

‫ •المقابالت واالجتماعات وجهاً لوجه‪.‬‬

‫‪52‬‬
 ‫الجزء الثاني‪ :‬الدليل اإلرشادي‬

‫المختصة‪.‬‬
‫َّ‬ ‫ •استطالعات الرأي‪ ،‬أو االستبيانات‬
‫ •أدوات البرامج‪ ،‬أو حزم البرامج‪.‬‬
‫بمج َّرد اكتمال تحليل التأثير على األعمال‪ ،‬تت ّم االستعانة بالنتائج‪ ،‬لتحديد استراتيجيات التعافي‪ ،‬الستمرارية‬
‫وتقديم المعطيات لوضع خطط استمرارية األعمال‪.‬‬
‫إن أي تغيير في العمليات ال ُمستخ َدمة إلنتاج الخدمات الحرجة للمؤسسة‪ ،‬يقتضي إجراء مراجعة لتحليل التأثير‬
‫على األعمال مرة أخرى‪ ،‬لتحديد ما إذا كانت المعلومات الواردة في تحليل التأثير على األعمال‪ ،‬تحتاج إلى‬
‫التحديث أم ال‪.‬‬
‫وفي ح ٍّد أدنى‪ ،‬يجب إجراء مراجعة‪ ،‬لتحليل التأثير على األعمال مرة واحدة سنوياً‪ ،‬للتحقّق من صالحيته‪ ،‬وإجراء‬
‫التغييرات الالزمة عليه‪ ،‬إذا لزم األمر‪.‬‬
‫( انظر « نماذج مجموعة أدوات استمرارية األعمال ‪ »1‬لنموذج تحليل التأثير على األعمال و «أمثلة مجموعة‬
‫أدوات استمرارية األعمال ‪ » 2‬لنموذج من تحليل التأثير على األعمال)‪.‬‬

‫أ‪ 4-8-‬توثيق التحليل الخاص بالتأثير على األعمال‬

‫الب ّد من الحصول على فهم واضح للمهام على مستوى اإلدارة وما يتبع هذه المهام‪ ،‬وكيفية تأثر المهام بالتعطل‪.‬‬
‫ففي بعض األحوال‪ ،‬يكون المقياس الزمني المستخدم لقياس التعطل‪ ،‬بالدقائق أو الساعات‪ ،‬على سبيل المثال‬
‫في المستشفيات والبنوك‪ ،‬درجة التأثر ستكون مرتفعة‪ ،‬مثل إمداد الطاقة الكهربية لوحدة العناية المركزة‪،‬‬
‫أو توصيل الكهرباء إلى أجهزة الصرف اآللي‪ .‬وفي حاالت أخرى‪ ،‬قد يكون المقياس الزمني باأليام أو األسابيع‪،‬‬
‫وسوف يكون التأثير ضعيفاً‪ .‬يجب تعريف مقياس زمني عام لقياس التعطل والتأثير‪ ،‬وذلك بالتشاور مع اإلدارة‬
‫العليا قبل البدء في تحليل التأثير على األعمال‪.‬‬
‫يت ّم قياس تأثير تعطل األعمال‪ ،‬من حيث األضرار أو الخسائر أو األعطال المرتبطة بالمؤسسة‪ ،‬على الشكل التالي‪:‬‬
‫ •العمليات‬
‫ •الوضع المالي‬
‫ •السمعة‬
‫ •التعهدات وااللتزامات التعاقدية‬
‫ •متطلبات االلتزام القانونية والتنظيمية‬
‫لكي يتس ّنى لها تحديد تأثير التعطل أو طوله الذي يمكن أن تقبله‪ .‬كما ينبغي على المؤسسة أن تح ِّدد بوضوح‬
‫مستويات الخدمة التي تحتاج‪ ،‬للحفاظ عليها‪ ،‬سواء بتوقف مستويات الخدمة هذه في حاالت الكوارث‪ ،‬أوعدد‬
‫الم ّرات التي يجب عليها التعافي من مستويات الخدمة العادية‪ ،‬وما هي العقوبات للجهات الخارجية في حال‬
‫عدم قدرتها على عمل ذلك‪.‬‬
‫ويشتمل هذا على مراجعة ما يلي‪:‬‬
‫ •اتفاقيات مستوى الخدمة الخاصة بالمؤسسة‬

‫‪53‬‬
 ‫ •اتفاقيات مستوى التشغيل الخاصة بالمؤسسة‬
‫ •العقود‬
‫ •تغطية التأمين‬
‫يت ّم دمج التأثيرات الواردة في تحليل التأثير على األعمال‪ ،‬لتقديم تقدير يظهر التقييم الكلّي لتعطل كل نشاط؛‬
‫على سبيل المثال‪ ،‬التأثير الحاد بعد خمسة أيام‪ ،‬أو التأثير الضعيف بعد ثالثة أسابيع‪ .‬وتُستخدم هذه التقديرات‬
‫لتصنيف األنشطة إلى مجموعات ووضع أولويات التعافي‪.‬‬
‫بالنسبة إلى األنشطة القائمة على نظم تكنولوجيا المعلومات والبيانات‪ ،‬تجب أيضاً مراجعة تأثير فقدان‬
‫البيانات‪ ،‬بين وقت التعطل ووقت حفظ آخر نسخة احتياطية صالحة لالستخدام‪ .‬سوف يساعد هذا في تحديد‬
‫القدرات التي تض ّمها المؤسسة‪ ،‬أو التي ينبغي أن تض ّمها‪ ،‬الستمرار األنشطة األساسية‪ /‬الضرورية‪ ،‬باستخدام‬
‫حل المشاكل في البرامج وال ُنظُم‪ ،‬والتي تشتمل على استخدام أدوات وتقنيات أخرى‬ ‫عمليات يدوية أو طرق ّ‬
‫أثناء تعطّل النظام‪.‬‬
‫يح ِّدد تحليل التأثير على األعمال‪ ،‬أيضاً‪ ،‬المتطلّبات الالزمة للمباني أو مجاالت العمل أو الموظفين أو أنظمة‬
‫الحاسوب أو تطبيقات البرامج أو األدوات أو المعدات أو البيانات اإللكترونية أو البيانات المطبوعة أو الوثائق‬
‫والمنتجات أو اإلمدادات أو الخدمات التي توفرها المصادر الداخلية أو الخارجية‪ ،‬التي تعتبر أساسية الستمرارية‬
‫أنشطتها األساسية‪ /‬الضرورية‪.‬‬
‫ويت ّم اتباع نهج عام لتقييم التأثير‪ ،‬باستخدام أسوأ سيناريو‪ ،‬وذلك عند إجراء تحليل التأثير على األعمال‪ .‬قد‬
‫يكون األساس المنطقي وراء ذلك‪ ،‬هو أن المؤسسة القادرة على استعادة االستمرارية في أكثر األوقات حرجاً‪،‬‬
‫ستكون أيضاً‪ ،‬قادرة على استعادتها عندما يكون التأثير أقل سو ًءا ً‪.‬‬
‫ال يجوز تعطيل توريد ال ُمنتجات والخدمات األساسية‪ /‬الضرورية للمؤسسة‪ ،‬من خالل عجز الغير الذي يو ِّرد هذه‬
‫ال ُمنتجات والخدمات إلى المؤسسة‪ ،‬أو التي تو ِّردها مباشرة إلى العمالء بالنيابة عن المؤسسة‪.‬‬
‫في حالة تعهيد توريد منتج أو خدمة ما‪ ،‬سواء كان ذلك بصورة كلية أو جزئية‪ ،‬تُعتبر المؤسسة مسؤولة عن‬
‫المحافظة على االستمرارية في توريد تلك المنتجات والخدمات لعمالئها‪ .‬يجب على المؤسسات التي تتع ّهد‬
‫تقديم مرافقها أو خدماتها للمو ِّردين الخارجيين‪ ،‬أن تساعد هؤالء المو ِّردين في تطوير قدرة استمرارية أعمالهم‬
‫والحفاظ عليها‪.‬‬
‫تستطيع المؤسسات القيام بذلك‪ ،‬من خالل التعريف بتحليل التأثير على األعمال‪ ،‬وما هو مطلوب من المو ِّرد‪،‬‬
‫عندئذ دمج هذه المتطلّبات في االتفاقيات التعاقدية‬ ‫ٍ‬ ‫من أجل تحقيق أهداف التعافي للمؤسسة‪ .‬كما ينبغي‬
‫بين المؤسسة ومو ِّرديها‪.‬‬
‫من المه ّم بمكان‪ ،‬أن تتطلَّب سياسة إدارة استمرارية األعمال‪ ،‬وتحليل التأثير على األعمال‪ ،‬مراجعة األنشطة‬
‫المعهدة‪ ،‬ألن الجهات المعنية سوف تفترض أن المؤسسة على دراية باعتمادها على الغير الذين ينفذون‬
‫األنشطة‪ ،‬وأنها قد صنعت خيارا ً مدروساً بشأن الغير‪ ،‬الذين تعتمد عليهم المؤسسة‪ ،‬وأنها اتخذت االجراءات‬
‫المناسبة للتحقق من أن الغير قادرون على أداء مه َّمتهم كما ينبغي‪ ،‬من أجل الحفاظ على استمرارية األنشطة‬

‫‪54‬‬
 ‫الجزء الثاني‪ :‬الدليل اإلرشادي‬

‫األساسية‪ /‬الضرورية الخاصة بالمؤسسة‪.‬‬

‫يجب تقييم المو ِّردين بصورة منتظمة‪ ،‬لضمان أن لديهم قدرة استمرارية أعمال داخلية‪ ،‬لتوفير المنتجات‬
‫والخدمات المطلوبة إيفا ًء بمتطلبات تحليل تأثر أعمال وإنجاز شروط عقودهم‪.‬‬
‫خالصة القول‪ :‬يق ِّدم تحليل التأثير على األعمال‪ ،‬المعلومات الالزمة لتحديد وتدوين المنتجات والخدمات‬
‫واألنشطة األساسية‪ /‬الضرورية للمؤسسة والمطلوبة لتقديمها‪ ،‬وزمن االستعادة األمثل للبيانات والمعلومات‬
‫والنظم المطلوبة لمواصلة تلك األنشطة‪.‬‬
‫(أنظر «نماذج مجموعة أدوات استمرارية األعمال ‪ »1‬لالطالع على نموذج تحليل التأثير على األعمال و»أمثلة‬
‫مجموعة أدوات استمرارية األعمال ‪ 2‬لنموذج من تحليل التأثير على األعمال)‪.‬‬
‫يت ّم توثيق تحليل التأثير على األعمال‪ ،‬على أن يتض َّمن العناصر التالية‪:‬‬
‫( أ ) التف ُّهم العميق ألعمال المؤسسة‪ ،‬ويُستخلص من ذلك العمل األساسي واألنشطة المه َّمة للمؤسسة‬
‫التي ال غنى عنها‪.‬‬
‫( ب ) تحديد األنشطة التي تدعم تلك األعمال أو الخدمات المق َّدمة من المؤسسة‪ ،‬ويُمكن تحديد‬
‫محل المصادر الحالية الداعمة‪.‬‬‫تحل ّ‬ ‫المصادر األخرى البديلة‪ ،‬التي يُمكن أن ّ‬
‫( ج ) تحديد التأثير الناجم عن تعطل أحد هذه المهام‪ ،‬أو النشاطات أو الخدمات المقدمة من المؤسسة‪،‬‬
‫ويت ّم ذلك‪ ،‬بتحديد النشاط أو الخدمة وافتراض تعطلها ألي سبب كان‪ ،‬وبعدها‪ ،‬قياس التأثير الناجم‬
‫عن ذلك‪ ،‬ويت ّم أيضاً‪ ،‬قياس التأثير الناجم عن تعطل جميع األعمال‪ ،‬بافتراض ‪ -‬على سبيل المثال‬
‫‪ -‬عدم إمكانية الوصول إلى المؤسسة‪ ،‬نتيجة احتراق المبنى أو غير ذلك من الطوارئ ال ُمحتملة‪.‬‬
‫وبعدها يت ّم قياس مدى ذلك التأثير مع مرور الوقت‪ ،‬سواء بالساعات األولى أو األيام أو األشهر‪ ،‬بُغية‬
‫تحديد الفترة الزمنية التي يمكن تح ُّملها بدون قيام المؤسسة بتوفير تلك الخدمات‪.‬‬
‫( د ) بعد ذلك يتم قياس الوقت األقصى لتعطل كل نشاط على ِح َدة‪ ،‬ويرمز له بـ (‪ ،)MTPD‬وتعني‬
‫(‪ ،) Maximum tolerable Period of disruption‬ويُمكن تحديد ذلك بواسطة‪:‬‬
‫‪ -1‬تحديد الوقت األقصى الستعادة ذلك النشاط أو الخدمة‪.‬‬
‫‪ -2‬أدنى مستوى مقبول‪ ،‬يُمكن أن تكون عليه الخدمة خالل فترة استمرارية األعمال‪ ،‬بعد مراجعة‬
‫اإلدارة العليا‪.‬‬
‫‪ -3‬أقصى فترة يُمكن أن تبقى األعمال سارية إلى حين التمكُّن من الرجوع إلى الحالة الطبيعية أو‬
‫الكاملة للتشغيل‪.‬‬
‫( هـ ) خالل تحليل التأثير على األعمال‪ ،‬يت ّم تحديد تلك النشاطات التي تُعتبر مه َّمة وأساسية للمؤسسة‪،‬‬
‫والتي بموجبها يت ّم تقديم الخدمات أو المهام الرئيسة للمؤسسة‪ ،‬لذلك يجب تدوين جميع هذه‬
‫المهام‪.‬‬
‫( و ) كذلك‪ ،‬يت ّم وضع تلك النشاطات التي تُمكن استعادتها‪ ،‬ووضع أولوياتها للرجوع إلى الخدمة‪ ،‬وذلك‬
‫نتيجة تحليل التأثير على األعمال‪.‬‬

‫‪55‬‬
‫( ز ) تدوين جميع المو ِّردين والمتعاقدين‪ ،‬الذين لهم دور خالل عمل المؤسسة‪ ،‬فترة استمرارية األعمال‪.‬‬
‫( ح ) قد تكون هناك خطط معتمدة لدى بعض المؤسسات‪ ،‬لذلك ال تكون هناك حاجة للبدء من‬
‫الصفر‪ ،‬وعليه تجب مراجعة تلك الخطط‪ ،‬وآلية تحليل التأثير على األعمال السابقة‪ ،‬وتب ِّنيها في حال‬
‫صالحيتها‪.‬‬
‫( ط ) كذلك قد تكون هناك خطط مسبقة لدى المو ِّردين أو المتعاقدين‪ ،‬وتتو َّجب مراجعتها‪ ،‬للتأكُّد من‬
‫مواكبتها للمعيار‪ ،‬وتلبيتها لجميع المتطلبات الموجودة فيه‪.‬‬
‫( ي ) يت ّم تحديد جميع المصادر الخارجية للموارد المطلوب توفّرها‪ ،‬من أجل استمرارية األعمال‪ ،‬ووضعها‬
‫في قوائم مع المو ِّردين لتلك االحتياجات أو الموارد‪.‬‬
‫( ك ) بنا ًء على دراسة تقنية المخاطر‪ ،‬فإن هناك مخاطر مقبولة‪ ،‬ولكن‪ ،‬ت َّم وضع سيناريو لحدوث تلك‬
‫المخاطر‪ ،‬وبالتالي هناك وقت ت َّم حسابه للتعافي واالستمرار في تقديم األعمال‪.‬‬

‫أ‪ 5-8-‬تقييم المخاطر‬

‫في الوقت الذي يُساهم فيه تحليل التأثير على األعمال‪ ،‬في التع ُّرف على بعض المخاطر المتعلقة باستمرارية‬
‫األنشطة األساسية‪ /‬الضرورية للمؤسسة‪ ،‬إال أنه ال تزال هناك حاجة إلجراء تقييم شامل للتهديدات و َمواطن‬
‫الضعف‪ ،‬لتحديد طائفة واسعة من المخاطر وإمكانية حدوثها‪.‬‬
‫لجمع هذه المعلومات‪ ،‬يت ّم إجراء المزيد من المقابالت مع األفراد في مجاالت الدعم‪ ،‬مثل تكنولوجيا المعلومات‬
‫والخدمات العامة واألمن‪ ،‬لتحديد النقاط المستقلة للفشل (‪ ، )SPF‬والتهديدات التي قد تتس َّبب في فشلها‪.‬‬
‫يُمكن أن تَعت ِمد هذه المقابالت على المعلومات ال ُمستقاة من التقييمات التي ت َّم جمعها وتدقيقها وتحديثها‪،‬‬
‫لمراجعة ذلك التقييم‪ ،‬أو يُمكن أن ترتكز على المعلومات التي ت َّم الحصول عليها من تقييم جديد‪.‬‬
‫هناك العديد من نماذج إدارة المخاطر في االستخدام‪ ،‬بعضها عام في طبيعته‪ ،‬بينما ت َّم تطوير أخرى في‬
‫صناعات أو قطاعات معينة‪.‬‬
‫وتشتمل هذه النماذج على عناصر أساسية بشكل عام‪ :‬أحد هذه العناصر هو تحديد التهديدات المعنية (أو‬
‫الصيَغ الرياضية لحساب قيمة الخطر‪ .‬وتشتمل الصيغة على‬ ‫المخاطر)‪ .‬بينما يتمثل العنصر اآلخر في استخدام ِّ‬
‫مجموعة من التقديرات الرقمية للتأثير واالحتمالية وإمكانية التع ُّرض للتهديدات‪.‬‬
‫يمثل تقدير التأثير على حجم أو مقياس الخسارة ‪ /‬الضرر المحتملين والناشئين عن الحدث‪.‬‬
‫يمثل تقدير االحتمالية على إمكانية وقوع حدث ما‪.‬‬
‫يعكس تقدير إمكانية التع ُّرض للتهديدات االنخفاض في الخسائر المتوقَّعة‪ ،‬وذلك من خالل السيطرة والقيام‬
‫باإلجراءات الوقائية‪ ،‬التي وضعتها المؤسسة لخفض ح ّدة التأثير‪.‬‬
‫يجب على كل مؤسسة تطبيق إطار عام إلدارة المخاطر‪ ،‬وتقييمها في أرجاء مواقع عملها وعملياتها وإداراتها‪.‬‬
‫وال يجوز أن ينشأ إطار عمل واحد إلدارة المخاطر‪ ،‬وآخر الستمرارية األعمال‪.‬‬
‫تشتمل تهديدات استمرارية األنشطة األساسية‪ /‬الضرورية للمؤسسة ‪ -‬على سبيل المثال ال الحصر ‪ -‬على ما يلي‪:‬‬

‫‪56‬‬
 ‫الجزء الثاني‪ :‬الدليل اإلرشادي‬

‫ •الفيضانات أو األضرار المائية‬

‫ •الكوارث الطبيعية‬
‫ •عدم توفر األفراد المه ِّمين‬
‫ •الحرائق‬
‫ •تعطل الكهرباء‬
‫ •تعطل مكيفات الهواء‬
‫ •تعطل نقل البيانات واالتصاالت الصوتية‬
‫ •األعطال التقنية‬
‫ •السرقة‬
‫ •األضرار المتع َّمدة من ِقبَل األفراد المحليين‬
‫ •األضرار المتعمدة من قبل األفراد الخارجين‬
‫في حالة وقوع حدث ما‪ ،‬بسبب تهديد واحد أو أكثر ‪ ،‬فقد يؤثر على المؤسسة‪ ،‬السيما في ما يتعلق بما يلي‪:‬‬
‫صحة وسالمة الموظفين الذين يستجيبون للحدث‪ ،‬باإلضافة إلى المتض ِّررين منه‪.‬‬
‫ •تنفيذ المهام واألنشطة األساسية‪ /‬الضرورية‪ ،‬أثناء الحدث وما بعده‪.‬‬
‫ •استخدام الممتلكات والمرافق واألصول والبنية التحتية األساسية‪ /‬الضرورية‪.‬‬
‫ •قدرة أنظمة النقل الداخلية والخارجية في سلسلة اإلمداد‪ ،‬على تقديم ال ُمنتجات والخدمات‪.‬‬
‫ •السمعة أو الثقة في قدرة المؤسسة على القيام بواجباتها ومهامها وخدماتها‪.‬‬
‫ •الخسائر المالية قصيرة وطويلة األجل‪.‬‬
‫ •البيئة‪.‬‬
‫يُمكن إجراء عملية تقييم المخاطر‪ ،‬من خالل تنفيذ الخطوات التالية‪:‬‬
‫ •إدراج التهديدات الداخلية والخارجية المعروفة‪ ،‬التي يُمكن أن تُس ِّبب تعطل األنشطة األساسية‪/‬‬
‫الضرورية في المؤسسة‪ ،‬حسبما يح ِّدده تحليل التأثير على األعمال‪.‬‬
‫ •وضع نظام لقياس التأثير واالحتمالية‪ ،‬وإمكانية التع ُّرض لتلك التهديدات المحتملة‪.‬‬
‫ •مراجعة قائمة التهديدات ونظام القياس ال ُموصى به مع اإلدارة العليا‪ ،‬والحصول على موافقتها‪.‬‬
‫ •تحديد احتمالية كل تهديد‪ ،‬وإسناد قيمة‪ ،‬بنا ًء على نظام القياس‪.‬‬
‫ •تحديد احتمالية تع ُّرض المؤسسة لكل تهديد‪ ،‬وتحديد نسبة مئوية تُمثل االنخفاض المتوقَّع للتأثير‬
‫الناتج عن الضوابط وإجراءات التخفيف المقترحة‪.‬‬
‫ •حساب مخاطر كل تهديد‪ ،‬من خالل دمج نقاط التأثير واالحتمالية‪ ،‬وإمكانية التع ُّرض للتهديدات‪.‬‬
‫ •الطريقة األكثر استخداماً لحساب المخاطر‪ ،‬كما يلي‪:‬‬
‫ •الخطر = االحتمالية × التأثير × إمكانية التع ُّرض للتهديدات‪.‬‬
‫ •إعطاء األولوية للتهديدات‪ ،‬من خالل التقدير الشامل لمستوى الخطر‪.‬‬

‫‪57‬‬
 ‫ •تحديد المخاطر غير المقبولة‪.‬‬
‫ •تقديم نسخة من نتائج تقييم المخاطر للشخص المسؤول عن برنامج إدارة مخاطر المؤسسة‪.‬‬
‫ •تحديد االجراءات المطلوبة للح ّد من تهديد تعطل األنشطة األساسية‪ /‬الضرورية‪ ،‬في تقرير يت ّم رفعه‬
‫إلى اإلدارة العليا‪.‬‬
‫ينبغي أن تشتمل نواتج تقييم المخاطر على ما يلي‪:‬‬
‫ •قد تتس َّبب التهديدات في إحداث توقُّف أو انقطاع األنشطة األساسية‪ /‬الضرورية للمؤسسة‪ ،‬والتي يت ّم‬
‫تصنيفها حسب مستوى التأثير‪.‬‬
‫ •نقاط اإلخفاق الوحيدة المصاحبة لهذه التهديدات‪.‬‬
‫ •االجراءات المطلوبة للح ّد من تهديد انقطاع أو توقُّف األنشطة األساسية‪ /‬الضرورية للمؤسسة‪.‬‬
‫سجل أو دفتر المخاطر‪ ،‬باإلضافة إلى جميع‬ ‫يجب اشتمال جميع المخاطر المح َّددة في تقييم المخاطر‪ ،‬في ّ‬
‫المعلومات الخاصة بالتخفيف واالجراءات الوقائية والتصحيحية الالزمة‪ ،‬للح ّد من تلك المخاطر‪.‬‬
‫سجل المخاطر «وثيقة حيّة» يت ّم تحديثها مرة على األقل سنوياً‪ ،‬أو عندما يت ّم إجراء تغيير‬ ‫ينبغي أن يكون ّ‬
‫جوهري في عملية أعمال المؤسسة أو أماكنها أو مرافقها أو عملياتها المتعلِّقة بأنشطتها األساسية‪ /‬الضرورية‪.‬‬
‫سجل المخاطر يح ِّدد المعالجات التي يجب تطبيقها على تلك المب َّينة في تقييم المخاطر‪ .‬هناك‬ ‫هناك جزء من ّ‬
‫أربع فئات أساسية من معالجة المخاطر‪ ،‬موضحة في الرسم أدناه‪:‬‬

‫تقييم املخاطر‬

‫معالجة املخاطر‬

‫التخطيط للمخاطر‬
‫إزالة املخاطر‬ ‫تخفيف املخاطر‬ ‫استمرارية األعامل‬
‫قبول املخاطر ترك‬ ‫تقليل االحتامالت‪ -‬قلل‬
‫إزالة املصدر‬ ‫التعايف من كارثة تقنية‬
‫الخطر بدون معالجة‬ ‫التأثري‪ -‬حول األخرين‬
‫وقف التسبب يف املخاطر‬ ‫املعلومات واالتصاالت‬
‫إدارة األحداث‬
‫خارج نطاق إدارة استمرارية األعمال‬ ‫ضمن نطاق استمرارية‬
‫األعمال‬

‫ •قبول المخاطر – ويُستخدم عندما يكون الخطر على مستوى أقل من درجة المخاطر‪ ،‬أو تكلفة التعامل‬
‫مع المخاطر التي تفوق الفائدة‪.‬‬
‫ •تخفيف المخاطر – ويُستخدم عندما يُمكن خفض درجة المخاطر إلى مستوى أقل من درجة المخاطر‪.‬‬

‫‪58‬‬
 ‫الجزء الثاني‪ :‬الدليل اإلرشادي‬

‫ •إزالة المخاطر – وتُستخدم عندما يُمكن القضاء على التهديد‪ ،‬أو إمكانية التع ُّرض له‪.‬‬
‫ •التخطيط للمخاطر – ويُستخدم عندما يت ّم تطبيق الطرق الواردة أعاله‪ ،‬ولكن المؤسسة ال تزال تحتفظ‬
‫بمستوى غير مقبول من الخطر‪ .‬عندها يت ّم وضع خطة استمرارية األعمال لتحديد األعمال واإلجراءات‬
‫الالزمة لالستجابة‪ ،‬واستعادة استمرارية األنشطة األساسية ‪ /‬الضرورية في حالة تعطل األعمال‪.‬‬
‫لكل من عمليات معالجة المخاطر شخصاً مسؤوالً عن تنفيذها‪.‬‬ ‫ينبغي أن يكون ٍّ‬
‫في الحاالت التي تكون فيها المعالجة «التخطيط للمخاطر»‪ ،‬الب ّد من وضع خطة استمرارية األعمال من جانب‬
‫اإلدارات‪ /‬الوظائف المسؤولة عن تنفيذ األنشطة األساسية‪ /‬الضرورية‪ .‬والب ّد أن تح ِّدد هذه الخطط مجاالت‬
‫العمل والموظفين واألدوات والمعدات واألنظمة والبيانات والمعلومات الالزمة لتوفير االستمرارية لتلك‬
‫األنشطة‪ ،‬داخل األطر الزمنية الموضوعة من قبل تحليل التأثير على األعمال‪.‬‬
‫السجل لعملية المراجعة‬‫ّ‬ ‫بسجل المخاطر‪ ،‬على أن يخضع هذا‬ ‫ّ‬ ‫يتولّى مدير المخاطر مسؤولية االحتفاظ‬
‫والتدقيق‪ ،‬مرة سنوياً على األقل‪ .‬وعلى سبيل المثال‪ ،‬هناك طرق عديدة تستطيع المؤسسات من خاللها التعامل‬
‫مع مخاطر تعطل األعمال‪:‬‬
‫ •إذا كان الخطر بسبب تركيز األنشطة األساسية‪ /‬الضرورية في مكان واحد‪ ،‬تستطيع المؤسسة الترتيب‬
‫بحيث يت ّم تنفيذ تلك األنشطة في مكانين‪ ،‬طالما أنها ليست قابلة للتعطل من نفس الحدث‪.‬‬
‫ •إذا كان الخطر مرتبطاً باستخدام المرافق أو المعدات أو االجراءات المنتهية‪ ،‬يُمكن استبدالها أو ترقيتها‪.‬‬
‫ •إذا كانت التكلفة باهظة من أجل الحصول على أماكن متع ِّددة‪ ،‬أو استبدال أو ترقية المرافق أو‬
‫المعدات أو االجراءات‪ ،‬تستطيع المؤسسة شراء تأمين لخفض قيمة الخسارة‪.‬‬
‫ •هناك خيار آخر يتمثل في تأجير المرافق و‪ /‬أو المعدات‪ ،‬أو التعاقد على تنفيذ األعمال مع مؤسسة‬
‫أخرى‪ ،‬والتي ال يجوز أن تخضع لنفس المخاطر‪.‬‬

‫أ‪ 6-8-‬استراتيجية معالجة المخاطر‬

‫بمجرد التع ُّرف على الخطر‪ ،‬يجب وضع استراتيجية لمعالجته‪ ،‬وتدوينها في ّ‬
‫سجل المخاطر‪ .‬ويجب أن يح ِّدد‬
‫سجل المخاطر األمور التالية‪:‬‬
‫ّ‬
‫ •المهام المطلوبة للمخاطر‪.‬‬
‫ •إسناد المسؤولية ألشخاص أو مناصب معيَّنة‪ ،‬للتأكُّد من إنجاز المه َّمة‪.‬‬
‫ •التاريخ الذي سيت ّم فيه إنجاز المه َّمة‪.‬‬
‫ •الموارد المطلوبة إلنجاز المه َّمة‪.‬‬
‫ •اسم الشخص الذي يعتمد إنجاز المه َّمة‪.‬‬
‫تُمكن االستعانة بتحليل التكلفة والعائد‪ ،‬من أجل اختيار االستراتيجية األمثل للتعامل مع الخطر‪ .‬كما أن هناك‬
‫أساليبا أخرى يُمكن أن تكون مفيدة‪ ،‬منها‪:‬‬
‫تحليل سوات ‪( SWOT‬نقاط القوة والضعف والفرص والتهديدات)‪.‬‬

‫‪59‬‬
 ‫تحليل بيست ‪( PEST‬التأثيرات السياسية والبيئية واالجتماعية والتقنية)‪.‬‬
‫تحليل السوق‪ ،‬لتحديد وضع ال ُمخرجات تِبعاً لتعطل كبير في سلسلة اإلمداد‪.‬‬
‫في العديد من الحاالت‪ ،‬يُمكن تطبيق عدد من العالجات على الخطر‪ ،‬وقد تتطلَّب االستراتيجية العامة مجموعة‬
‫متن ِّوعة من العالجات للح ّد من المخاطر إلى المستوى المقبول‪.‬‬
‫عند اختيار التخطيط للمخاطر‪ ،‬والذي يتطلَّب التخطيط الستمرارية األعمال‪ ،‬وذلك كخيار لمعالجة الخطر‪ ،‬يت ّم‬
‫النظر في ما يلي‪:‬‬
‫المواقع االحتياطية‬
‫تشتمل هذه االستراتيجية على تنفيذ األنشطة األساسية‪ /‬الضرورية في موقعين جغرافيين متف ِّرقين‪ ،‬إلى أن‬
‫يت ّم نقل العمليات من موقع إلى آخر‪ .‬يعمل كل من الموقعين بصورة كاملة تقنياً‪ .‬ويُعتبر هذا مناسباً في‬
‫المؤسسات‪ ،‬السيما المالية أو األمنية‪ ،‬عندما يت ّم قياس زمن االستعادة األمثل بالدقائق أو الساعات‪ ،‬بدالً من‬
‫األيام‪.‬‬

‫المواقع البديلة‬
‫تض ّم المواقع البديلة استراتيجية تشبه استراتيجية المواقع االحتياطية‪ ،‬الستخدام مرفق آخر لتنفيذ األنشطة‬
‫األساسية‪ /‬الضرورية الخاصة بالمؤسسة‪ ،‬في موقع مستقل جغرافياً عن الموقع األساسي‪ .‬ففي هذه االستراتيجية‪،‬‬
‫يكون الموقع األول عامالً ويجري استخدامه‪ ،‬بينما يكون اآلخر غير عامل ولكنه جاهز لالستخدام‪ .‬يُطلق على‬
‫الموقع األول «الموقع الساخن» بينما يُطلق على الموقع الذي يعتبر جاهزا ً للعمل‪« ،‬الموقع الدافئ»‪ .‬وكذلك‪،‬‬
‫عندما يت ّم إجراء بعض الترتيبات من أجل بناء أو تجديد موقع في وقت الطوارئ واألزمات والكوارث‪ ،‬بدالً من‬
‫أن يت ّم ذلك في وقت سابق‪ ،‬فإنه يطلق عليه «الموقع البارد»‪.‬‬
‫يشتمل تنفيذ هذه االستراتيجية على نقل الموظفين إلى الموقع االحتياطي‪ ،‬بعد وقوع الطوارئ واألزمات‬
‫والكوارث‪ .‬قد يكون الموقع البديل عبارة عن مرفق مقدم من الغير‪ ،‬أو قد يكون أحد المرافق الخاصة‬
‫بالمؤسسة‪ ،‬أو قد يكون أحد المواقع المشتركة‪ ،‬ويتبع الحكومة المحلية أو الحكومية االتحادية‪ .‬قد تكون هذه‬
‫االستراتيجية مناسبة‪ ،‬عندما يت ّم قياس زمن االستعادة األمثل بالساعات أو األيام‪ ،‬بدالً من األسابيع أو األشهر‪ ،‬طبقا‬
‫لطبيعة الكارثة‪ ،‬ويُمكن نقل الموظفين إلى الموقع البديل بسرعة كافية‪ ،‬لمواصلة ممارسة األنشطة األساسية‪/‬‬
‫الضرورية‪ ،‬في غضون زمن االستعادة األمثل‪ .‬يتوقف نجاح هذه االستراتيجية‪ ،‬على ما إذا كان الموظفون قادرين‬
‫وراغبين في العمل في الموقع البديل لفترة زمنية مط ّولة إن لزم األمر‪.‬‬

‫تعهيد األعمال‬
‫هناك استراتيجية أخرى تُمكن االستفادة منها للح ّد من المخاطر‪ ،‬أال وهي تعهيد األعمال أو تنفيذ عقود األنشطة‬
‫األساسية ‪ /‬الضرورية للغير‪ .‬يعتمد ذلك ‪ -‬طبعا ‪ -‬على طبيعة عمل المؤسسة وخدماتها‪ ،‬ويكون ذلك بموجب‬
‫مذكرات تفاهم مع المتع ِّهدين‪ .‬قد يكون هذا الخيار مفضالً في التصنيع‪ ،‬حيث تكون التكلفة المضافة إلنشاء‬

‫‪60‬‬
 ‫الجزء الثاني‪ :‬الدليل اإلرشادي‬

‫مواقع احتياطية أو بديلة‪ ،‬أكثر من الفوائد والمم ِّيزات التي يت ّم تحصيلها من جراء المشروع‪.‬‬
‫في بعض األوقات‪ ،‬يكون الخيار الوحيد للتعهيد هو التعاقد مع مؤسسة أخرى‪ ،‬تقوم بتنفيذ هذا النوع من‬
‫المحصلة من معالجة‬‫َّ‬ ‫األعمال‪ ،‬والتي يُمكن أن تكون مؤسسة منافسة‪ .‬في هذه الحالة‪ ،‬الب ّد من مقارنة الفوائد‬
‫المخاطر‪ ،‬بخطر عمل تبعية ألحد المنافسين‪ ،‬وبشكل عام‪ ،‬فإن هذا الخيار يتناسب مع القطاع الخاص بشكل‬
‫أكبر‪.‬‬
‫بالنسبة إلى ال ُمنتجات والخدمات التي لها زمن استعادة قصير‪ ،‬الب ّد من إبرام عقود التعهيد مسبقاً‪ .‬أما بالنسبة‬
‫إلى الخدمات التي لها زمن استعادة طويل‪ ،‬فقد يكون من ال ُممكن االنتظار حتى بعد الحدث إلبرام العقد‪ .‬إال‬
‫أنه يوجد هناك خطر لالنتظار‪ ،‬حتى بعد وقوع الحدث‪ ،‬إلبرام عقد ما‪ ،‬حيث أن ذلك الوقت الذي قد يلتزم فيه‬
‫الشريك ال ُمعهد له باألعمال التزاماً كامالً‪ ،‬قد يكون غير قادر على تلبية جميع احتياجات المؤسسة‪.‬‬
‫يُساهم التعهيد أو التعاقد على تنفيذ األنشطة األساسية‪ /‬الضرورية للغير‪ ،‬في نقل المخاطرة‪ ،‬ولكنه ال يعفي‬
‫المؤسسة من مسؤوليتها القانونية لتقديم المنتجات والخدمات للمعنيين‪ ،‬بل تبقى المخاطرة من مسؤولية‬
‫المؤسسة‪.‬‬

‫الشراء بعد الحدث‬

‫هناك استراتيجية أخرى تُمكن االستعانة بها للمنتجات والخدمات‪ ،‬التي تقيس زمن االستعادة األمثل باأليام‬
‫واألسابيع‪ ،‬وتتمثل في شراء ال ُمنتجات والخدمات من المو ِّردين والبائعين الذين يستطيعون توفيرها‪ ،‬بمجرد‬
‫إرسال إخطار في مدة قصيرة‪ ،‬إليهم‪ ،‬سواء للقطاع الحكومي أو القطاع الخاص‪.‬‬
‫تتمتع هذه االستراتيجية بنفس مخاطرة االنتظار إلى ما بعد الحدث إلبرام اتفاقيات تعهيد‪ ،‬فقد يقوم البائعون‬
‫والمو ِّردون باالستعانة بالمخزون ال ُمتاح لديهم لإليفاء باحتياجات عمالء آخرين‪ .‬ولتالشي حدوث هذا‪ ،‬قد ترغب‬
‫المؤسسة في النظر في تخزين إمداد مؤقَّت من المواد الضرورية‪ ،‬من أجل استمرارية أنشطتها األساسية‪/‬‬
‫الضرورية‪.‬‬
‫ليست استراتيجية الشراء بعد الحدث‪ ،‬هي االستراتيجية المناسبة لل ُمنتجات أو الخدمات التي تتطلَّب معدات‬
‫أو مرافق خاصة‪ ،‬أو للمهارات غير المتوافرة بالفعل‪ ،‬أو التي تحتاج إلى وقت إلتقانها‪ ،‬مثل الخدمات الطبية أو‬
‫خدمات الزبائن في الدوائر المختلفة‪.‬‬

‫التأمين‬
‫يمكن شراء تأمين لتقديم تعويض مالي عن فقدان األصول وتكلفة االستعادة وحماية المسؤوليات القانونية‪.‬‬
‫إال أنه ال ير َّجح أن يغطي التأمين جميع التكاليف الناتجة عن التعطل‪ ،‬بما في ذلك فقدان العمالء أو ِق َيم‬
‫السمعة أو صورة العالمة التجارية‪ .‬يُمكن شراء تأمين تعطل وحدات األعمال في بعض األحيان‬ ‫المساهمين‪ ،‬أو ّ‬
‫لتغطية التكاليف المباشرة المتعلقة بفقدان العائد من تعطل األنشطة األساسية‪ /‬الضرورية‪ .‬إالّ أن هذا النوع من‬
‫التأمين سيغطّي فقط خسائر األعمال المرتبطة بالخسائر األخرى القابلة للتأمين عليها (مثل األضرار التي تلحق‬

‫‪61‬‬
‫بالمبنى أو منطقة العمل أو األدوات والمعدات المستخدمة في تلك المناطق‪ ،‬بما في ذلك نظم تكنولوجيا‬
‫المعلومات وغير تكنولوجيا المعلومات‪ .).‬هناك نوع آخر من التأمين‪ ،‬وهو أن بداية الظهور في السوق تشتمل‬
‫على تغطية لمجموعة واسعة من التوقفات والتعطالت‪ ،‬بما في ذلك األعطال في سلسلة اإلمداد‪ .‬هناك أنواع‬
‫أخرى من التأمين والتي تُعتبر ضرورية للحماية من المخاطر‪ ،‬وتشتمل على االختطاف والفدية أو األخطاء‬
‫والسهو (والمسؤولية القانونية المهنية)‪.‬‬
‫حل المشاكل يدوياً‬
‫ّ‬
‫تتَّسم معظم بيئات العمل الحالية باآللية‪ ،‬وباعتمادها على النظم واألدوات والمعدات التي تعمل أوتوماتيكياً‪،‬‬
‫أو تدعم أنشطتها األساسية‪ /‬الضرورية بطريقة أوتوماتيكية‪ .‬في بعض الحاالت‪ ،‬يُمكن أن تكون عملية معالجة‬
‫المخاطر بسيطة‪ ،‬كأن يت ّم ذلك عن طريق استخدام عملية يدوية أو تقنيات وأدوات بديلة‪ ،‬أو وثائق ورقية بعد‬
‫تعطل األعمال‪.‬‬

‫التدريب المتبادل‬
‫هناك نوع من األخطار شائع ج ّدا ً‪ ،‬يتمثل في وجود شخص واحد‪ ،‬يستطيع تنفيذ النشاط الحرج‪ ،‬مثل توقيع‬
‫الشيكات والعقود وتوكيالت العمل وصيانة نظام معين أو جزء من جهاز أو قيادة تنمية منتج أو خدمة جديدة‪.‬‬
‫تُمكن معالجة هذا الخطر من خالل التدريب المتبادل للعاملين‪ ،‬للح ّد من نقطة اإلخفاق الوحيدة‪ ،‬وضمان‬
‫استمرارية العمليات‪ .‬حيث يت ّم تدريب بعض العاملين في وظائف مهنية‪ ،‬للعمل في تلك الوظائف المه َّمة‬
‫التي ت َّم تحديدها في تحليل األعمال‪.‬‬

‫البنية المرنة لتكنولوجيا المعلومات‬

‫توجد عدة نقاط إخفاق وحيدة ( ‪ ) Single Point of Failure SPF‬في نظم تكنولوجيا المعلومات على وجه‬
‫التحديد‪ .‬يُمكن تخفيف ح ّدة المخاطر الناشئة عن نقاط اإلخفاق الوحيدة‪ ،‬وذلك من خالل تحليل النظام‪،‬‬
‫لتحديد أماكن تواجدها في أجهزة المؤسسة أو برامجها أو شبكاتها‪.‬‬
‫بمج َّرد التع ُّرف على نقطة إخفاق وحيدة‪ ،‬وأو ُجه الضعف النظامية التي أ َّدت إليها‪ ،‬يُمكن وضع بعض الخيارات‬
‫للح ّد من المخاطر‪ ،‬من خالل تجاوز الفشل‪ ،‬أو من خالل إعادة التوجيه‪.‬‬
‫تشتمل الحلول المرنة لتكنولوجيا المعلومات على بنيات توافر عالية‪ ،‬مثل الحوسبة السحابية‪ ،‬والشبكات‬
‫ال ُمحايدة‪ ،‬وحلول إخفاق البرامج‪ ،‬ومصفوفة األقراص الممغنطة‪ ،‬كما أن هناك معايير خاصة بالحلول التقنية‬
‫إلدارة استمرارية األعمال في مجال تقنية المعلومات‪.‬‬

‫إجراءات الصحة والسالمة المهنية والبيئة‬

‫يُمكن أن يتم خفض خطر أضرار العاملين في المؤسسة‪ ،‬مثل إصابة أحد موظفيها أو وفاته‪ ،‬أو دمار ممتلكاتها‪،‬‬
‫من خالل اتباع إجراءات ومعايير الصحة والسالمة المهنية والبيئة‪ .‬إذ تساعد هذه اإلجراءات على خفض مخاطر‬

‫‪62‬‬
 ‫الجزء الثاني‪ :‬الدليل اإلرشادي‬

‫التع ُّرض للحرائق والفيضانات واألخطار والتلوث وانتشار األمراض المعدية في مكان العمل‪.‬‬

‫مراجعة الطرف الثالث‬

‫يُمكن التعامل مع كثير من المخاطر التي تنشأ عن استخدام الغير والمو ِّردين‪ ،‬وذلك من خالل تح ّري عالقات‬
‫وسمعة وعمليات التعاقد والشراء للمتعاقد معهم‪ ،‬وتشمل النقاط التالية‪:‬‬
‫ •سلوكيات التعامل ‪ /‬أخالقيات العمل‬
‫ •المسؤولية االجتماعية للشركات‬
‫ •االهتمام بالبيئة‬
‫ •الصحة والسالمة‬
‫ •عمليات االستيراد والتصدير‬
‫ •المعايير الدولية وتشتمل استمرارية األعمال‬
‫ •إدارة الجودة‬
‫ •االمتثال التنظيمي والتعاقدي‬
‫ •إدارة المخاطر‬
‫ •مستوى األمن‬
‫يُمكن التعامل مع النقاط المتبقّية‪ ،‬من خالل مراجعة برامج قدرة استمرارية األعمال الخاصة بالغير أو المورد‪.‬‬
‫وهناك طريقة ج ّيدة لضمان تقييم أغلب هذه المخاطر‪ ،‬والتعامل معها في عملية الشراء والتعاقد‪ ،‬ثم يت ّم‬
‫قياسها وإعادة تقييمها‪ ،‬من خالل أعمال المؤسسة‪.‬‬

‫أ‪ 7-8-‬استراتيجية استمرارية األعمال‬

‫إن تحديد استراتيجية معالجة المخاطر لدى المؤسسة‪ ،‬سوف يب ّين أي من المنتجات والخدمات يتطلَّب‬
‫استراتيجية استمرارية األعمال لضمان استمرارية األنشطة األساسية‪ /‬الضرورية في هذه المؤسسة‪.‬‬
‫يجب تنسيق استراتيجية استمرارية األعمال أو دمجها مع الخطط واالستراتيجيات والميزانيات األخرى التي‬
‫تطبقها المؤسسة‪ ،‬وذلك لضمان عدم وجود تعارض للمصالح‪.‬‬
‫لضمان النجاح‪ ،‬يجب على استراتيجيات استمرارية األعمال‪ ،‬تحديد ما يلي‪:‬‬
‫ •المسؤول عن تحقيق أهداف االستعادة‪.‬‬
‫ •األساليب والموارد التي سيتم استخدامها لتحقيق األهداف‪.‬‬
‫ •اإلطار الزمني الموضوع لتحقيق األهداف‪.‬‬
‫ •تحديد أفضل االستراتيجيات‪ ،‬التي تضمن النظر بعين االعتبار إلى عوامل عديدة من بينها‪:‬‬
‫‪1 .1‬نتائج تحليل تأثر أعمال المؤسسة وتقييم المخاطر‪.‬‬
‫‪2 .2‬تكاليف تطبيق االستراتيجية أو االستراتيجيات‪.‬‬

‫‪63‬‬
 ‫‪3 .3‬نتائج التعطّل‪.‬‬
‫تهدف االستراتيجية إلى تحقيق الوقاية والتوافر واالسترداد‪ .‬في إطار تعريفها الستراتيجية استمرارية األعمال‪،‬‬
‫تحتاج المؤسسة إلى األخذ بعين االعتبار جميع العناصر المطلوبة لتوفير استمرارية أنشطتها األساسية‪/‬‬
‫الضرورية‪ ،‬ويشمل ذلك‪:‬‬
‫ •أصولها األساسية‪ /‬الضرورية‬
‫ •معلوماتها‬
‫ •مبانيها‬
‫ •موظفوها‬
‫ •الجهات المعنية‬
‫ •إمداداتها‬
‫ •بنيتها التحتية المساندة‬
‫ •التكنولوجيا‬
‫يُمكن تحقيق استراتيجية استمرارية أعمال المؤسسة‪ ،‬من خالل وضع خطة استمرارية أعمال واحدة أو أكثر‪.‬‬
‫عند القيام بذلك‪ ،‬قد تُعالج كل خطة بعض األو ُجه أو العناصر الخاصة لعمليات المؤسسة‪ ،‬أو أنها قد تُعالج‬
‫جميع العمليات في موقع واحد‪ .‬سواء اختارت المؤسسة وضع خطة استمرارية أعمال واحدة أو خطط متع ِّددة‪،‬‬
‫فإن المسؤوليات الرئيسة والموارد والبرامج ونتائج النشاط‪ ،‬تحتاج إلى تعريف تا ّم ٍ‬
‫وكاف في كل خطة‪.‬‬

‫أ‪ 8-8-‬خطة استمرارية األعمال‬

‫تتوقف فعالية قدرة استمرارية أعمال أية مؤسسة‪ ،‬على قدرتها على التخطيط للنشاط في كل مرحلة من مراحل‬
‫التعطل‪.‬‬

‫أوالً‪ ،‬يجب على المؤسسة االستجابة بفعالية للحادث‪ ،‬من أجل توفير الصحة والسالمة لموظفيها‪ ،‬وخصوصاً‬
‫لفرق االستجابة للحادث والمتض ِّررين من حالة الطوارئ أو األزمات أو الكوارث‪ .‬في العديد من األحوال‪ ،‬فإن‬
‫المعلومات المطلوبة لعمل هذا‪ ،‬تكون واردة في خطة طوارئ مبنى المؤسسة‪ ،‬أو في خطة ُمستقلة تُعرف‬
‫باسم «خطة إدارة الحوادث للمؤسسة»‪.‬‬

‫ثانياً‪ ،‬يجب على المؤسسة تنسيق أنشطة من يستجيبون للحادث‪ ،‬وإجراء التقييم المبدئي لألضرار‪ ،‬وتنظيم‬
‫فريق اإلدارة المسؤول عن تحديد االجراءات المطلوبة‪ ،‬وتنسيق أنشطة الفرق المشاركة في االستجابة‪ ،‬واعتماد‬
‫االتصال بالجهات المعنية الداخلية والخارجية‪ .‬يجب أن تكون هذه المعلومات واردة في خطة إدارة الحوادث‪.‬‬
‫وكجز ٍء من عملية إدارة الطوارئ واألزمات والكوارث‪ ،‬تحتاج المؤسسة إلى وضع وتقديم رسائل للجهات المعنية‬
‫الداخلية والخارجية‪ ،‬التي ستُبقيها على اطالع على حالة استجابة المؤسسة وأنشطة التعافي من الكوارث‪ .‬غالباً‬

‫‪64‬‬
 ‫الجزء الثاني‪ :‬الدليل اإلرشادي‬

‫ما تو َجد هذه المعلومات في خطة إدارة الحوادث‪ ،‬أو قد تو َجد في خطة مستقلة تُعرف باسم خطة االتصاالت‬
‫أثناء األزمات‪.‬‬
‫تشتمل طرق االتصال الخارجية على‪:‬‬
‫ •األخبار أو البيانات الصحافية‬
‫ •اإلعالم‬
‫ •التقارير المالية‬
‫ •الرسائل اإلخبارية‬
‫ •المواقع اإللكترونية‬

‫المكالمات الهاتفية ورسائل البريد اإللكتروني والرسائل النصية (التي يتم تسليمها يدوياً و‪ /‬أو عن طريق نظم‬
‫إشعار الطوارئ األوتوماتيكية)‪.‬‬

‫أخيراً‪ ،‬بمجرد أن تكون المؤسسة قادرة على بدء استعادة استمرارية أنشطتها األساسية ‪ /‬الضرورية‪ ،‬فإنها تحتاج‬
‫إلى خطة من شأنها تحديد الفرق والعمليات واالجراءات التي ستُستخدم لتنفيذ تلك األعمال‪ .‬هذه المعلومات‬
‫واردة في خطة استمرارية األعمال‪.‬‬

‫تنص خطة إدارة الحوادث لإلدارة العليا وكبار المديرين‪ ،‬على التعليمات واإلرشادات الالزمة لتنسيق أنشطة‬ ‫ّ‬
‫الفرق المشاركة في االستجابة والترسيخ والتعافي من حوادث تعطل األعمال‪ .‬ينبغي أن توفر خطة إدارة‬
‫الحوادث االستجابة للحادث‪ ،‬من خالل‪:‬‬
‫‪ .1‬تعريف معايير تفعيل خطة االستجابة‪.‬‬
‫‪ .2‬تحديد صاحب سلطة تفعيل الخطة‪.‬‬
‫‪ .3‬كيفية تفعيل أو تشكيل فريق إدارة الحوادث‪.‬‬
‫‪ .4‬تحديد المجاالت الرئيسة التي سيت ّم النظر فيها‪ ،‬وتدوينها في نقاط إرشادية ُمختصرة لضمان التعامل معها‪.‬‬
‫‪ .5‬تفعيل أو تأسيس المواقع البديلة من أجل‪:‬‬
‫ •استعادة تكنولوجيا المعلومات‪ ،‬أو أحد عناصر البنية التحتية األساسية‪ /‬الضرورية األخرى‪.‬‬
‫ •االستخدام المؤقت ألي عنصر‪ ،‬بغرض تنفيذ أنشطة األعمال األساسية‪ /‬الضرورية‪.‬‬
‫‪ .6‬تدوين الجهات المعنية الداخلية والخارجية التي سيتم االتصال بها في الساعات األولى فور وقوع الطوارئ‬
‫أو األزمات أو الكوارث‪.‬‬
‫‪ .7‬تعريف األسلوب الالزم لكيفية التواصل مع الجهات المعنية والسلطات المحلية ووسائل اإلعالم وما الذي‬
‫يحتاجون إلى نقله إليهم‪.‬‬
‫‪ .8‬توفير نماذج رسائل مكتوبة مسبقاً لالتصاالت‪.‬‬

‫‪65‬‬
 ‫‪ .9‬تحديد الموظفين المسؤولين عن التنسيق مع المستجيبين األوائل‪.‬‬
‫‪ .10‬تحديد العملية والمعيار ال ُمستخدم لتقييم الضَّ رر والتأثير‪.‬‬
‫يتألَّف فريق إدارة الحوادث من مجموعتين‪ .‬المجموعة األولى هي األساسية‪ ،‬وتتك َّون من ممثلين عن مجاالت‬
‫األعمال الرئيسة‪ ،‬الذين يُمكن أن يلتقوا في أي نوع من الحوادث‪ .‬المجموعة الثانية‪ ،‬هي مجموعة الدعم‪،‬‬
‫وتتك َّون من ممثلين عن مجاالت األعمال الذين يُمكن االتصال بهم‪ ،‬بنا ًء على طبيعة التعطل وتأثيره‪.‬‬
‫ال توجد قائمة مح َّددة عن مجاالت األعمال التي يجب تمثيلها في كل فريق‪ ،‬إال أنه من الشائع أن نجد ممثلين‬
‫عن مجاالت األعمال ال ُمدرجة أدناه‪ ،‬في كل فريق‪.‬‬
‫الفريق األساسي‪:‬‬
‫ •رئاسة إدارة الحوادث (يت ّم اختياره من اإلدارة العليا)‪.‬‬
‫ •مندوب تكنولوجيا المعلومات‪.‬‬
‫ •مندوب الخدمات المساندة أو المرافق (االتصال مع فريق تقييم األضرار)‪.‬‬
‫ •مندوب االتصاالت ‪ /‬العالقات اإلعالمية‪.‬‬
‫ •مدير استمرارية األعمال‪.‬‬
‫ •كاتب (لتسجيل محاضر االجتماعات والقرارات)‪.‬‬
‫ •فريق الدعم‪.‬‬
‫ •مندوب الموارد البشرية‪.‬‬
‫ •مندوب الصحة والسالمة والبيئة‪.‬‬
‫ •مندوب األمن‪.‬‬
‫ •مندوب قانوني‪.‬‬
‫ •مندوبو التشغيل ودعم األعمال‪.‬‬

‫لضمان أن كل فريق قادر على تنفيذ مه َّمته ال ُمسندة إليه‪ ،‬يجب على المؤسسة تعيين فرد أساسي وآخر‬
‫احتياطي لكل مركز في كل من الفريق األساسي وفريق الدعم‪ .‬يجب أن تكون خطة إدارة الحوادث ُمختصرة‬
‫ومركّزة‪ .‬كما يجب أن تح َّدد المهام التي سيتم تنفيذها‪ ،‬عالوة على تقديم المعلومات األساسية المطلوبة‬
‫لتنفيذه هذه المهام‪ .‬يُفضَّ ل استخدام قائمة للقيام بالفحص‪ ،‬وأن تكون جميع العناصر على شكل نقاط في هذا‬
‫النوع من الخطط‪( .‬أنظر «نماذج مجموعة أدوات استمرارية األعمال ‪ – 1‬لنموذج خطة إدارة الحوادث «وأمثلة‬
‫مجموعة األدوات ‪ 2‬الستمرارية األعمال ‪ -‬لخطة نموذجية‪).‬‬

‫يجب أن تحتوي خطة االتصاالت الخاصة بالمؤسسة‪ ،‬التعليمات واإلرشادات الالزمة لإلدارة العليا والمديرين‬
‫التنفيذيين والموظفين وموظفي العالقات العامة‪ ،‬عن كيفية إرسال الرسائل للجهات المعنية الداخلية والخارجية‪،‬‬
‫وذلك قبل وأثناء وبعد وقوع أحداث تعطل األعمال‪.‬‬

‫‪66‬‬
 ‫الجزء الثاني‪ :‬الدليل اإلرشادي‬

‫والب ّد من أن تشتمل هذه الخطة على الهيكل العام لعملية جمع ونشر المعلومات عن الطوارئ واألزمات‬
‫والكوارث للجهات المعنية الداخلية والخارجية‪.‬‬
‫كذلك تح ِّدد الخطة مجموعات الشركاء الرئيسيين والمسؤولين عن التواصل مع كل مجموعة من هؤالء الشركاء‪،‬‬
‫وذلك قبل وأثناء وبعد التع ُّرض للطارئ‪ .‬توضع نماذج وأشكال الرسائل المعدة مسبقاً كجزء من خطة االتصاالت‪.‬‬
‫تُمكن االستعانة بأساليب متع ِّددة لتسليم الرسائل إلى مجموعات الشركاء الرئيسيين‪ ،‬ويشمل هذا‪:‬‬
‫يجب على المؤسسات تقييم الحاجة ألساليب بديلة و‪ /‬أو أنظمة إضافية‪ ،‬واالستعداد لفرط تحميل النظام أو‬
‫اإلخفاق أثناء حالة الطوارئ‪( .‬أنظر «نماذج مجموعة أدوات استمرارية األعمال ‪ – 1‬لنموذج خطة االتصاالت‬
‫ومجموعة أدوات استمرارية األعمال ‪ 2‬لخطة نموذجية‪).‬‬

‫أ‪ 1-8-8-‬قبل أن تقوم المؤسسة بوضع خطط استمرارية األعمال الخاصة بها‪ ،‬يجب عليها تطوير أو مراجعة‬
‫وتحديث الوثائق الحالية التي تُع ِّرف أهداف استعادة الخدمات واألنشطة التي تحتاج خططها إلى تحقيقها‪،‬‬
‫على سبيل المثال‪ ،‬تقييم المخاطر وتحليل التأثير على األعمال‪ .‬كما ينبغي أيضاً تحديد ومراجعة االفتراضات‬
‫ال ُمستخدمة في إعداد جميع الخطط‪ ،‬وذلك في بداية عملية التخطيط‪ .‬عالوة على أن هذه االفتراضات يجب‬
‫أن تتماشى مع نتائج تقييم مخاطر المؤسسة وتحليل التأثير‪ .‬يُمكن تخزين المعلومات السرية أو الحساسة‬
‫الالزمة لتنفيذ الخطة‪ ،‬في وثيقة منفصلة‪ ،‬بمستويات مناسبة من األمن والحماية‪ ،‬لضمان االحتفاظ بسرية‬
‫الوثيقة ومحتوياتها‪.‬‬
‫عندما تكون المؤسسة صغيرة‪ ،‬قد تشتمل خطة استمرارية األعمال على وثيقة واحدة‪ .‬وعندما تكون المؤسسة‬
‫كبيرة‪ ،‬أو معقدة‪ ،‬فقد تكون معلومات استمرارية األعمال الخاصة بها‪ ،‬متواجدة في سلسلة من الوثائق‪ ،‬والتي‬
‫غالباً ما تكون خطّة منفصلة لكل إدارة أو قسم داخل المؤسسة‪.‬‬
‫عندما توجد خطة استمرارية األعمال في سلسلة من الوثائق‪ ،‬يجب على المؤسسة ضمان وضع الخطط بشكل‬
‫متناسق ومنظَّم لتقديم المعلومات الالزمة لالستجابة وإدارة الحوادث واالتصال مع الجهات المعنية واستمرارية‬
‫األنشطة األساسية‪ /‬الضرورية بشكل مالئم‪.‬‬
‫في ما يلي‪ ،‬بعض األمثلة عن كيفية وضع خطط استمرارية األعمال لمؤسسات ذات أحجام مختلفة‪:‬‬
‫المؤسسات الصغيرة‪ :‬خطة واحدة‪ ،‬موقع واحد‬
‫في مؤسسة صغيرة ذات موقع واحد‪ ،‬يت ّم تدوين جميع مستويات االستجابة في خطة واحدة‪ ،‬بفريق واحد‬
‫إلدارة الحوادث‪ ،‬يتولّى تنفيذ أنشطة المؤسسة وأعمالها‪.‬‬

‫المؤسسات متوسطة وكبيرة الحجم‪ :‬خطط متعدِّ دة‬

‫في المؤسسة متوسطة الحجم‪ ،‬يتم تدوين مستويات االستجابة في عدد من الخطط‪ ،‬التي يت ّم تطبيقها من قبل‬
‫أكثر من فريق‪.‬‬
‫تتكون خطة إدارة الحوادث من فريق مؤلَّف بالطريقة المنصوص عليها في الجزء الرقم ‪ 8-8‬أعاله‪.‬‬

‫‪67‬‬
‫•خطة استمرارية األعمال الستعادة جميع عمليات المؤسسة‪ ،‬مع فريق استجابة من موظفي اإلدارة‬ ‫ ‬
‫التشغيلية‪.‬‬
‫•خطة تكنولوجيا المعلومات‪ ،‬التي تورد بالتفصيل االجراءات وأساليب استرداد التكنولوجيا‪.‬‬ ‫ ‬
‫•خطة الموارد البشرية للتعامل مع المحاسبة للموظفين وإدارة تسجيل اإلصابات وحاالت الوفاة‬ ‫ ‬
‫والصدمات واالستشارات والمشاكل العامة الخاصة بالموظفين‪.‬‬
‫•خطة إدارة المرافق‪ ،‬التي تتولّى تقييم الضَّ رر الذي يلحق بالموقع‪ ،‬وتوفير الخدمات األمنية في كل من‬ ‫ ‬
‫المواقع األساسية والبديلة‪ ،‬وإعداد المواقع البديلة‪ ،‬والتواصل مع أجهزة الطوارئ وغير ذلك‪.‬‬
‫•خطة تقييم األضرار للمرافق وفرق تكنولوجيا المعلومات‪ ،‬لالستخدام في تقييم تأثير الطوارئ واألزمات‬ ‫ ‬
‫والكوارث‪.‬‬
‫•خطط أخرى خاصة بالسيناريوهات المتعلقة بمهام األعمال‪ ،‬أي خطة تحطّم الطائرة أو اصطدامها‪،‬‬ ‫ ‬
‫للمطارات‪ ،‬وخطة التسربات النفطية للمؤسسات البحرية والنفطية‪ ،‬وغير ذلك‪.‬‬

‫المؤسسات متعدِّ دة الجنسيات‪ :‬خطط متعدِّ دة‪ ،‬مواقع متعدِّ دة‪ ،‬مناطق متعدِّ دة‬
‫يت ّم تدوين مستويات االستجابة في عدد من الخطط‪ ،‬التي يت ّم تطبيقها من قبل أكثر من فريق في المؤسسات‬
‫الكبرى متع ِّددة الجنسيات‪:‬‬
‫ •خطة إدارة الحوادث العالمية‪ ،‬مع فريق االستجابة المك َّون من أعضاء ذوي مسؤوليات عالمية‪ ،‬وخطة‬
‫واحدة إلدارة الحوادث اإلقليمية‪ ،‬أو عدد أكثر من تلك الخطط مع فرق استجابة مك َّونة من كبار‬
‫المديرين م َّمن لديهم مسؤولية إقليمية‪.‬‬
‫ •العمل وفق توجيهات فريق إدارة الحوادث اإلقليمي؛ مجموعة خطط استمرارية أعمال لكل مجال‪،‬‬
‫تغطي قسماً كبيرا ً أو ُمنتجاً ضخماً أو منطقة خدمة – إذ تحتوي كل خطة على فريق االستجابة الخاص‬
‫بها من المديرين التنفيذيين المسؤولين عن المجاالت المشمولة في الخطة‪.‬‬
‫ •هناك خطط أخرى واردة في خطط المؤسسات متوسطة وكبيرة الحجم‪.‬‬

‫أ‪ 2-8-8-‬باإلضافة إلى ما جاء في جميع الفقرات من (أ) إلى (ن)‪ ،‬من المواصفات في هذه الوثيقة‪ ،‬يجب على‬
‫المؤسسة أن تضع خطط إدارة استمرارية أعمالها‪ ،‬من خالل اتباع إجراءات وعمليات تشتمل على الخطوات‬
‫التالية‪:‬‬
‫( أ ) تعيين شخص ما ليكون مسؤوالً عن وضع الخطة وتحديثها والحفاظ عليها‪.‬‬
‫( ب ) تحديد أهداف الخطة ونطاقها‪.‬‬
‫( ج ) تطوير العملية واعتمادها لوضع الخطة‪.‬‬
‫( د ) تشكيل الفريق‪/‬الفرق التي تتولّى تنفيذ الخطة‪.‬‬
‫( هـ ) إسناد مسؤوليات لالستجابة وإدارة الحوادث واالتصاالت‪ ،‬وإعادة تأسيس استمرارية العمليات‪.‬‬

‫‪68‬‬
 ‫الجزء الثاني‪ :‬الدليل اإلرشادي‬

‫( و ) تقرير هيكل الخطّة‪ /‬الخطط‪ ،‬وشكلها وعناصرها ومك ّوناتها‪.‬‬

‫( ز ) تحديد االستراتيجيات التي تحكم الخطط‪ ،‬على سبيل المثال‪ ،‬استخدام موقع عمل بديل‪.‬‬
‫( ح ) تجميع المعلومات الالزمة لترسيخ الخطة‪.‬‬
‫( ط ) دمج الخطة مع خطط الغير وإجراءاتهم‪.‬‬
‫( ي ) عمل مس ّودة للخطّة‪.‬‬
‫( ك ) تعميم مسو ّدة الخطّة الستعراضها والتعليق على محتواها‪.‬‬
‫( ل ) مراجعة مس ّودة الخطّة حسب األصول‪.‬‬
‫( م ) التصديق على المحتوى النهائي للخطة‪ ،‬على سبيل المثال‪ ،‬من خالل إجراء شرح كامل للخطّة‬
‫وتدريب مكتبي عليها‪.‬‬
‫( ن ) تحديد األنشطة التدريبية وأنشطة المحافظة‪ ،‬ووضع جدول ألدائها‪ ،‬واستخدام نتائج هذه التدريبات‬
‫للحفاظ على سريان الخطة‪ /‬الخطط‪ ،‬وبقائها ف ّعالة‪.‬‬
‫يشمل المعنيون في قدرة استمرارية أعمال المؤسسة‪ ،‬ذوي االحتياجات الخاصة في المجتمع‪ .‬إذ الب ّد من النظر‬
‫بعين االعتبار إلى هذه المتطلّبات الخاصة عند التخطيط‪.‬‬
‫يض ّم األفراد من ذوي االحتياجات الخاصة‪ ،‬كالًّ من ذوي اإلعاقة الجسدية أو الصحة النفسية واإلعاقة في التطور‬
‫والتعلّم‪ ،‬وكذلك اإلعاقة السمعية والبصرية‪ ،‬و َمن لديهم صعوبات في الحركة‪ ،‬و َمن يعيشون في ُدور رعاية‪،‬‬
‫وكبار السن أو صغار السن‪ ،‬الذين يعتمدون على اآلخرين لتقديم الرعاية األساسية لهم‪ ،‬وهؤالء الذين لديهم‬
‫معرفة محدودة باللغة المحلية‪.‬‬

‫أ‪ 3-8-8-‬محتويات خطط إدارة استمرارية األعمال‬

‫باإلضافة إلى النقاط المذكورة في المواصفات ‪ ،‬نو ّد أن نوضح هنا بعض النقاط واألمور المه َّمة‪ ،‬حيث يجب أن‬
‫تشتمل جميع خطط إدارة استمرارية األعمال‪ ،‬على من يتح َّمل مسؤولية ضمان االلتزام بصحة وسالمة موظفي‬
‫المؤسسة والمتعاقدين والزوار والعمالء‪ .‬ومهما كانت محتويات خطة استمرارية األعمال متكاملة‪ ،‬إال أنه عند‬
‫تطبيقها في الموقع‪ ،‬فإن التوجيهات والتعليمات الصادرة عن موظفي خدمات الطوارئ‪ ،‬تكون لها األولوية‪ ،‬على‬
‫التعليمات والتوجيهات الصادرة عن موظفي المؤسسة ذاتها‪.‬‬
‫وهناك عنصر هام تحتاج كل إدارة إلى توافره‪ ،‬الستخدامه في طوارئ المباني واإلخالء‪ ،‬أال وهو «صندوق‬
‫الطوارئ» أو «حقيبة االستمرارية ‘‪ .»’Go Bag‬يحتوي صندوق الطوارئ على المعدات واإلمدادات الالزمة في‬
‫حاالت الحوادث الكبرى‪ .‬إذ يحتوي على األشياء المطلوبة على الفور لتحقيق األمن والسالمة‪.‬‬
‫(انظر «أمثلة مجموعة أدوات استمرارية األعمال ‪ »2‬للحصول على مثال محتويات صندوق اإلسعافات‪).‬‬
‫تنص خطط إدارة استمرارية األعمال‪ ،‬على أمن الموقع والموظفين واألنشطة المطلوبة الستعادة‬ ‫يجب أن ّ‬
‫استمرارية أنشطتها الضرورية‪ /‬األساسية‪ ،‬بمجرد أن يُعيد موظفو خدمات الطوارئ السيطرة على الموقع إلى‬
‫المؤسسة‪.‬‬

‫‪69‬‬
‫تنص خطط إدارة استمرارية األعمال على العمليات واألنشطة التي سيت ّم تنفيذها‪ ،‬من االستجابة‬ ‫يجب أن ّ‬
‫للحوادث‪ ،‬إلى االستعادة الكاملة لالستمرارية‪ ،‬والعودة إلى تنفيذ األنشطة والعمليات المعتادة‪ .‬بالنسبة إلى‬
‫تنص خطط استمرارية األعمال‪ ،‬على العمليات‬ ‫اإلدارات التي تتولّى مسؤولية إدارة البنية التحتية‪ ،‬الب ّد من أن ّ‬
‫واألنشطة التي سيت ّم تنفيذها‪ ،‬من أجل استعادة الخدمات الموجودة أو المرافق البديلة‪ ،‬لدعم تعافي وحدات‬
‫األعمال األخرى‪.‬‬
‫تنص خطّة إدارة الحوادث‪ ،‬على المبادئ التوجيهية حول كيفية تناول وإدارة اإلدارة العليا في المؤسسة للمشاكل‬‫ّ‬
‫االستراتيجية الناجمة عن حادث كبير‪ .‬كما ينبغي أن تشتمل خطة إدارة الحوادث‪ ،‬على كيفية تفعيل الفريق‪،‬‬
‫حتى يتس ّنى اتخاذ إجراء لالستجابة بأقصى سرعة ُممكنة‪ ،‬بعد حدوث التعطل‪ ،‬إذ ينبغي تحديد مكانين على‬
‫األقل في الخطة‪ ،‬الستخدامهما كمركز قيادة إدارة الحادث (أو «غرفة التحكم»)‪ .‬وعاد ًة ما يكون الموقع الرئيس‬
‫هو العامل‪ ،‬حيث يت ّم تنفيذ العمليات واألعمال الخاصة بالمؤسسة‪ .‬وينبغي أن يكون الموقع البديل على بُعد‬
‫مسافة معقولة من الموقع الرئيس‪ ،‬وعلى مسافة بعيدة بدرجة كافية‪ ،‬حتى ال يتأثر بنفس الحادث الذي تع َّرض‬
‫له الموقع الرئيس‪.‬‬
‫‪ -‬ينبغي أن تحدِّ د الخطط التشغيلية قائمة من الموارد المطلوبة لتشغيل الخطة‪ .‬قد يشمل ذلك ما يلي‪:‬‬
‫ •الموظفين‬
‫ •األمن‬
‫ •لوجستيات النقل‬
‫ •االحتياجات االجتماعية‬
‫ •مصاريف مالية للطوارئ‬
‫ •المرافق‬
‫ •مركز قيادة الحوادث‬
‫ •مواقع التعافي‬
‫ •البنية األساسية‬

‫‪ -‬خطة استمرارية األعمال الخاصة بتكنولوجيا المعلومات‪ ،‬والتي تتض َّمن‪:‬‬

‫ •التطبيقات‬
‫ •أساليب الخدمات التكنولوجية إلدارة الوثائق والسجالت ورقابتها‬
‫ •االتصاالت‬
‫ •المعلومات (والتي تشتمل على)‬
‫ •السياسات‬
‫ •إجراءات التشغيل القياسية‬
‫ •تعليمات العمل‬

‫‪70‬‬
 ‫الجزء الثاني‪ :‬الدليل اإلرشادي‬

‫•بيانات االتصال الداخلية والخارجية‬ ‫ ‬

‫•البيانات المالية (مثل كشف األجور)‬ ‫ ‬
‫•أسماء الموظفين وبيانات االتصال واألقارب‬ ‫ ‬
‫•سجالت حسابات العمالء‬ ‫ ‬
‫•بيانات المو ِّرد والجهة المعنية‬ ‫ ‬
‫•الوثائق القانونية (مثل العقود وبوالص ووثائق التأمين وسندات الملكية وغيرها)‬ ‫ ‬
‫•وثائق الخدمات األخرى (مثل العقود واتفاقيات مستوى الخدمة)‬ ‫ ‬

‫‪ -‬اإلمدادات‬
‫يجب على المؤسسة إعداد مس ّودة مسبقاً‪ ،‬لنماذج الرسائل والنصوص والبيانات التي ستحتاجها‪ ،‬لالتصال مع‬
‫تنص على‬ ‫المجموعات المعنية بشأن التهديدات المنصوص عليها في تقييم المخاطر‪ .‬كما ينبغي أيضاً أن ّ‬
‫إجراءات تسليم هذه الرسائل‪ ،‬بإخطار لمدة قصيرة‪ ،‬حيث يُمكن تسليم الرسائل بسرعة استجابة مناسبة‪ ،‬بنا ًء‬
‫على درجة أه ّمية الحدث‪.‬‬
‫يجب على المؤسسة تحديد المتحدثين الرسميين الرئيسيين والبدالء‪ ،‬السيما المد َّربين على الحديث في وسائل‬
‫اإلعالم‪ ،‬وفي التواصل مع الجهات المعنية الداخلية والخارجية‪.‬‬

‫أ‪ -9-8-‬التوعية والتدريب‬

‫تضمن التوعية والتدريب أن يكون موظفو المؤسسة على وعي بأهمية استمرارية األعمال‪ ،‬ويفهمون أدوارهم‬
‫في تنفيذ خططهم‪ ،‬وتزويدهم بالمعرفة والمقدرة على تنفيذ خطط المؤسسة‪.‬‬
‫يُمكن توفير التدريب من خالل الدورات الداخلية والخارجية‪ ،‬والعمل مع المهنيين من ذوي الخبرة‪ ،‬في تطوير‬
‫وتنفيذ برنامج إدارة استمرارية األعمال‪ .‬ومن أجل ضمان إعطاء الوقت وال ُجهد المناسبين لمهام استمرارية‬
‫األعمال‪ ،‬يجب دمج أدوار ومسؤوليات تنفيذ تلك المهام‪ ،‬في التوصيف الوظيفي وعملية تقييم األداء الوظيفي‪.‬‬
‫تختلف االستراتيجية المختارة للتوعية والتدريب من مؤسسة إلى أخرى‪ ،‬إذ يتوقَّف ذلك على استراتيجية‬
‫وسياسة كل مؤسسة على حدة‪.‬‬

‫أ‪ 1-9-8-‬تثقيف العاملين‬

‫يختلف مستوى التوعية في المؤسسة‪ ،‬بحسب مع ّدالت التحاق الموظفين بالمؤسسة وتركهم لها‪ .‬قد تؤ ّدي‬
‫األحداث الداخلية والخارجية إلى زيادة سريعة في التوعية وحساسية األمور المتعلقة باستمرارية األعمال‪.‬‬
‫تشتمل البنود التي يجب تناولها في التوعية العامة للموظفين إلدارة استمرارية أعمال المؤسسة‪ ،‬على ما يلي‪:‬‬
‫ •التع ُّرف على األحداث وتصعيدها‪.‬‬
‫ •دوافع االستجابة للحوادث وتفعيل خطط استمرارية األعمال‪.‬‬

‫‪71‬‬
 ‫ •كيفية االستجابة لألحداث الخاصة‪.‬‬
‫ •اإلجراءات التي يجب اتخاذها عند اإلخالء من الموقع‪.‬‬
‫ •الخطط التي يجب توافرها لالستجابة وإدارة الحوادث واستمرارية األعمال والتعافي‪.‬‬
‫تشتمل البنود الالزم توافرها لزيادة التوعية بين الفرق الخاصة في برنامج إدارة استمرارية أعمال المؤسسة‪،‬‬
‫على ما يلي‪:‬‬
‫أ ( أ ) يجب دائماً وضع نظام قابل للقياس والتقييم‪ ،‬حيث الب ّد من التأكُّد من فعالية البرنامج التثقيفي‪،‬‬
‫من خالل الحصول على بيانات دورية أو إجراء مقابالت مع الموظفين للوقوف على مدى فهمهم‬
‫ووعيهم ببرنامج استمرارية األعمال‪.‬‬
‫أ ( ب ) يُمكن نشر هذه الثقافة داخل المؤسسة‪ ،‬من خالل قسم إدارة المخاطر أو مدير استمرارية‬
‫األعمال‪ ،‬عبر عقد الدورات التوعوية بشكل مستمر‪ ،‬مع وضع الملصقات الهادفة في أماكن تجمع‬
‫الموظفين‪ ،‬لتذكيرهم دائماً بأهمية التأ ُّهب للطوارئ‪ ،‬لكي تصبح جز ًءا ً من ثقافة بيئة العمل في‬
‫المؤسسة‪.‬‬
‫المتخصصة‪ ،‬سواء‬
‫ِّ‬ ‫أ ( ج ) يجب تنفيذ التطوير ال ُمستمر للبرنامج عبر حضور المؤتمرات والندوات العلمية‬
‫للعاملين في مجال الطوارئ أو اإلدارة العليا في المؤسسة‪ ،‬ألجل دعمهم وتف ُّهمهم ألهمية تلك‬
‫البرامج وتطويرها‪.‬‬
‫أ ( د ) كما يجب تشجيع الموظفين م َّمن يضطلعون بأدوار في برنامج استمرارية األعمال‪ ،‬عبر تقديم‬
‫الحوافز المعنوية والمادية لهم‪ ،‬حيث تكونهذه المهام ‪ -‬في كثير من األحيان ‪ -‬إضافة إلى أعمالهم‬
‫األصلية‪ .‬وعليه‪ ،‬يجب تقدير هذا العمل‪ ،‬السيما بعد عقد التمارين السنوية أو الحاالت الحقيقية‪.‬‬
‫يجب النظر بعين االعتبار إلى توسيع نطاق التوعية باستمرارية األعمال لمو ِّردي المؤسسة والعمالء والمقاولين‬
‫والجهات المعنية الخارجية‪.‬‬

‫أ‪ 2-9-8-‬التدريب‬
‫أ‪ 3-9-8-‬سجالت التدريب‬
‫يجب على المؤسسة المحافظة على تدريب جميع الموظفين لتمكينهم من تنفيذ واجباتهم المتعلقة باستمرارية‬
‫األعمال‪ .‬كما يجب أن يحصل الموظفون على تعليمات بشأن العناصر األساسية لبرنامج إدارة استمرارية أعمال‬
‫المؤسسة‪ ،‬باإلضافة إلى خطط االستجابة والتعافي التي تؤثر عليهم بصورة مباشرة‪.‬‬
‫يجب أن يشتمل تدريب المؤسسة على إجراءات اإلخالء واالحتماء والتسجيل في موقع اإلخالء‪ ،‬والمسؤولية عن‬
‫الموظفين‪ ،‬وتفعيل وإعداد مواقع العمل البديلة‪ ،‬والتعامل مع طلبات المعلومات المقدمة من الجهات المعنية‬
‫الداخلية والخارجية‪.‬‬
‫يجب أن تحصل فرق االستجابة والتعافي على التعليم والتدريب حول مسؤولياتها وواجباتها‪ ،‬بما في ذلك كيفية‬
‫تفاعلها مع المستجيبين األوائل‪ .‬كما يجب أن يت ّم توفير التدريبات األولية والتنشيطية للفرق على فترات زمنية‬

‫‪72‬‬
 ‫الجزء الثاني‪ :‬الدليل اإلرشادي‬

‫منتظمة‪ ،‬كما يجب إيجاد آلية مناسبة لضمان تدريب األعضاء ال ُج ُدد عند التحاقهم بالفريق‪.‬‬
‫تشتمل األمور الرئيسة‪ ،‬الخاصة بااللتزام باالحتياجات التدريبية بين الفرق المعنية في إدارة استمرارية األعمال‬
‫للمؤسسة‪ ،‬على ما يلي‪:‬‬
‫ •نظرة عامة على إدارة استمرارية األعمال‬
‫ •إدارة البرنامج‬
‫ •تحليل التأثير على األعمال‬
‫ •إدارة المخاطر‬
‫ •وضع االستراتيجيات‬
‫ •االستعداد للحادث واالستجابة له‬
‫ •وضع وتنفيذ خطط استمرارية األعمال‬
‫ •وضع برنامج التوعية والتدريب‬
‫ •ممارسة خطط استمرارية األعمال وتحديثها وحفظها‬
‫وتشتمل مجاالت الموضوعات األخرى على ما يلي‪:‬‬
‫ •تقييم األضرار‬
‫ •تجديد المرافق والمعدات‬
‫ •العالقات العامة واالتصاالت بشأن األزمات‬
‫ •تدقيق إدارة استمرارية األعمال‪.‬‬
‫ •وضع استراتيجيات استرداد تكنولوجيا المعلومات واستمرارية األعمال‬
‫ •إدارة الطوارئ واألزمات‬
‫ •قيادة الفريق‬
‫ •اختبار األدوات والمعدات الالزمة لتنفيذ خطط إدارة استمرارية األعمال‪.‬‬
‫(أنظر «مجموعة أدوات استمرارية األعمال ‪ – 4‬التدريب» للحصول على قائمة مقدمي الخدمات التدريبية‬
‫المعتمدين والدورات ذات الصلة‪).‬‬

‫أ‪ 10-8-‬االختبارات والتمارين‬

‫أ‪ 1-10-8-‬االختبارات‬
‫أ‪ 2-10-8-‬التمارين‬
‫االختبارات والتمارين عبارة عن أنشطة مص َّممة لتقييم قدرة موظفي المؤسسة على االستجابة واإلدارة والتواصل‬
‫مع المعنيين‪ ،‬واالستمرار في أداء الواجبات ال ُمسندة إليهم‪ ،‬وطرق التعافي من السيناريوهات المتن ِّوعة لتعطل‬
‫األعمال‪.‬‬
‫تُعتبر عملية االختبار والتمارين ونتائجها‪ ،‬بمثابة األساس الذي يت ّم بناء عليه‪ ،‬تحديد قدرة استمرارية األعمال‬

‫‪73‬‬
 ‫في المؤسسة‪.‬‬
‫يتو َّجب على المؤسسة تصميم سيناريوهات اختبار‪ ،‬تركّز بصفة أساسية على التدريب على أنشطة األعمال ذات‬
‫المخاطر الكبرى‪ ،‬ولكن‪ ،‬يجب األخذ بعين االعتبار جميع ما جاء في تقييم المخاطر وتحليل التأثير الخاص‬
‫بالمؤسسة‪ .‬كما يجب على المؤسسة إجراء تمرينات‪ ،‬وتدوين نتائج تلك التمرينات‪ ،‬لضمان أن خطط وعمليات‬
‫وفرق استمرارية األعمال ف ّعالة في تحقيق أهداف االستعادة والتعافي للمؤسسة‪ .‬يضمن التمرين تدريب الفرق‬
‫كاف‪ ،‬على استخدام وتشغيل المعدات واألدوات‪ ،‬وغيرها من الموارد المطلوبة‪ ،‬لتنفيذ‬ ‫والموظفين على نح ٍو ٍ‬
‫الواجبات ال ُمسندة إليهم‪ .‬يت ّم إجراء التمارين عادة‪ ،‬من خالل محاكاة استجابة المؤسسة لحادث ما‪ ،‬بدالً من‬
‫التفعيل الحقيقي للفرق والخطط والموارد بشكل كامل‪ ،‬والتي سيتم استخدامها في حادث واقعي‪ .‬يُمكن أن‬
‫تكون أعمال المحاكاة هذه‪ ،‬معلنة أو غير معلنة‪ ،‬حيث يَكمن الهدف من برنامج التمرين‪ ،‬في تحسين األداء‬
‫العام لقدرة استمرارية أعمال المؤسسة‪.‬‬
‫يت ّم إجراء التمرينات وتدريبها‪ ،‬كما يلي‪:‬‬
‫‪ .1‬نقاط الضعف والقوة الواضحة في الخطط وإجراءات التشغيل وافتراضات التخطيط‪.‬‬
‫‪ .2‬إثبات دقة استراتيجيات استمرارية أعمال المؤسسة‪ ،‬وأن خططها الخاصة باستمرارية األعمال‪،‬‬
‫ستمكّنها من الوفاء بأهداف التعافي واالسترداد المذكورة في تحليل التأثير على األعمال‪.‬‬
‫‪ .3‬التحقق من تماسك الخطط وتكاملها‪ ،‬من حيث قابلية التشغيل المتداخل في آن واحد‪.‬‬
‫‪ .4‬اختبار وإثبات االجراءات التي ت َّم تغييرها حديثاً‪.‬‬
‫‪ .5‬تآلف فرق استمرارية األعمال وإدارة الحوادث مع عملياتها وإجراءاتها‪.‬‬
‫‪ .6‬التحقق من أن الموظفين والفرق‪ ،‬لديهم المهارات والسلطة والخبرة الكافية لتنفيذ الخطط‬
‫واالجراءات‪.‬‬
‫‪ .7‬تحسين التنسيق بين وكاالت االستجابة ومؤسسات الدعم‪.‬‬
‫‪ .8‬إثبات عملية التدريب وإجراءات اإلخالء واالستجابة‪ ،‬وإدارة الحوادث واالتصاالت‪ ،‬واستعادة استمرارية‬
‫األعمال‪.‬‬
‫‪ .9‬زيادة وعي المؤسسة وفهمها وإدراكها للتهديدات التي يُمكن أن تؤثر على األنشطة الحرجة أو‬
‫تعطلها‪.‬‬
‫‪ .10‬التأكد من أن يكون قد ت َّم تحديد جميع االتصاالت والمعلومات الضرورية لتحقيق موارد التعافي‬
‫التي تتطلَّبها الخطَّة‪.‬‬
‫يجب أن يضمن برنامج التمرين على استمرارية األعمال‪ ،‬أن جميع الموظفين‪ ،‬وعناصر خطط استمرارية األعمال‪،‬‬
‫تت ّم ممارستها طوال فترة زمنية ما‪ ،‬بطريقة من شأنها تج ُّنب تعطل العمليات العادية‪.‬‬
‫هناك عملية تُمكن االستعانة بها‪ ،‬لوضع اختبار ف ّعال‪ ،‬وبرنامج تمرين يتض َّمن الخطوات التالية‪:‬‬
‫‪ .1‬التعاون مع اإلدارة العليا لتحديد مجاالت قدرة استمرارية أعمال المؤسسة التي يُمكن أن تستفيد من‬
‫الوعي المتزايد الذي يُمكن أن يق ِّدمه التمرين‪.‬‬

‫‪74‬‬
 ‫الجزء الثاني‪ :‬الدليل اإلرشادي‬

‫‪ .2‬تحديد عناصر خطة استمرارية األعمال ومواردها وإجراءاتها التي تُمكن ممارستها‪ .‬على سبيل المثال‪،‬‬
‫تخصيص الموارد واالتصال بالطوارئ واالتصاالت‪ ،‬أو االنتقال إلى موقع عمل بديل‪.‬‬
‫‪ .3‬التع ُّرف على تمرين مناسب لكل عنصر أو مو ِّرد أو إجراء‪.‬‬
‫‪ .4‬تحديد الموظفين أو المجموعات ال ُمدرجة في التمرين‪.‬‬
‫‪ .5‬في حالة إجراء تمرينات في الماضي‪ ،‬تتم مراجعة الوثائق الداعمة والثبوتية‪ ،‬لتفادي استخدام نفس‬
‫السيناريو أو الموظفين‪ ،‬ولتحديد األنشطة التي تتطلّب تمريناً أو اختبارا ً إضافياً‪.‬‬
‫‪ .6‬ابتكار جدول زمني لضمان أن تت ّم ‪ -‬بمرور الوقت ‪ -‬االستفادة من السيناريوهات‪ ،‬م ّما سيكون له أكبر‬
‫األثر على استمرارية األنشطة الهامة للمؤسسة‪.‬‬
‫يتوقف توالي االختبارات والتمرينات على طبيعة المؤسسة وحجمها ومدى تعقيدها‪ .‬يجب أن يشارك جميع‬
‫األعضاء المشاركين في فريق إدارة حوادث المؤسسة‪ ،‬بما في ذلك المندوبين‪ ،‬في تمرين واحد على األقل كل‬
‫‪ 12‬شهرا ً‪.‬‬

‫هناك أحداث أخرى يُمكن أن تتطلب إجراء تمرين‪ ،‬وذلك عند حصول تغييرات جوهرية في‪:‬‬
‫ •مكان المؤسسة أو مرافقها‬
‫ •البيئة التشغيلية للمؤسسة‬
‫ •أدوات المؤسسة وتقنياتها‬
‫ •الموظفين الهامين في المؤسسة‬
‫ •المز ِّودين ومقدمي الخدمة‬
‫ •تعهيد أعمال المؤسسة للشركاء‬
‫ •استخدام أو شراء األصول الحرجة والهامة للمؤسسة‬
‫ •أهداف األعمال للمؤسسة‬

‫يجب تدوين االختبار وخطة التمرين‪ ،‬قبل كل اختبار‪ ،‬مع التأكيد على النقاط التالية‪:‬‬
‫ •األهداف‬
‫ •معايير النجاح‬
‫ •الجدول الزمني وجدول األنشطة‬
‫ •الموارد التي يت ّم االستعانة بها‬
‫ •المخاطر‬
‫ •االفتراضات‬
‫ •االستثناءات‬
‫(أنظر «نماذج مجموعة أدوات استمرارية األعمال ‪ »1‬للحصول على نموذج خطة االختبار والتمرين‪).‬‬

‫‪75‬‬
‫يجب كتابة تقرير عن االختبار والتمرين‪ ،‬فوراالنتهاء منه‪ .‬وينبغي أن يشتمل هذا التقرير ‪ -‬في ح ٍّد أدنى ‪ -‬على‬
‫العناصر التالية‪:‬‬
‫ •ملخص اإلدارة‬
‫ •المقدمة‬
‫ •الخلفية‬
‫ •ملخص النتائج‬
‫ •ملخص االستثناءات والمشاكل‬
‫ •خطة اإلجراءات التصحيحية والوقائية‬
‫ •تقرير المالحظ المستقل‬
‫(أنظر «نماذج مجموعة أدوات استمرارية األعمال ‪ »1‬للحصول على نموذج تقرير االختبار والتمرين‪).‬‬
‫يوضح الجدول التالي قائمة بأنواع التمرينات والعمليات التي يُمكن استخدامها للمساعدة في اختيار التمرينات‬
‫وتصميمها‪.‬‬

‫‪76‬‬
 ‫الجزء الثاني‪ :‬الدليل اإلرشادي‬
‫مبسط‪ ،‬ثم يتط َّور تدريجياً‬
‫لضمان التمكّن من تحقيق النجاح‪ ،‬يجب أن يبدأ برنامج التمرين بشكل ّ‬
‫التكرار التعقيد‬ ‫المشاركون‬
‫مرتفع منخفض‬ ‫واضع الخطة‬
‫منخفض مرتفع‬
‫واضع الخطة‬
‫مستخدمو الخطة‬
‫المنسق ‪ /‬ضابط الطوارئ‬
‫مستخدمو الخطة‬
‫آخ��رون بحسب الحاجة (على‬
‫سبيل المثال‪ :‬المراقبون)‬
‫مستخدمو إجراء االسترداد أو‬
‫التكنولوجيا‬
‫آخ��رون حسب الحاجة (على‬
‫سبيل المثال‪ :‬الفنيون)‬
‫مستخدمو اإلجراء أو التكنولوجيا‬
‫آخ��رون حسب الحاجة (على‬
‫سبيل المثال‪ :‬الفنيون)‬
‫ه����ؤالء ال���م���وج���ودون في‬
‫المؤسسة أو هؤالء المطلوبون‬
‫لعملية األعمال أو المنتجات‬
‫أو الخدمات أو مستخدمو‬
‫التقنيات المتكاملة‬
‫آخ��رون حسب الحاجة (على‬
‫سبيل المثال‪ ،‬الفنيون)‬
‫جميع الموجودين في المؤسسة‬
‫أو جميع المطلوبين إلجراءات‬
‫األع��م��ال أو المنتجات أو‬
‫الخدمات أو جميع مستخدمي‬
‫التقنيات المتكاملة‬
‫آخ��رون حسب الحاجة (على‬
‫سبيل المثال‪ ،‬الفنيون)‬
‫المصدر‪ :‬المبادئ التوجيهية للممارسات الجيدة لمعهد استمرارية األعمال ‪ ،BCI‬النسخة الدولية (طبعة ‪ )2010‬صفحة ‪85‬‬
‫‪77‬‬
‫األساليب والمناهج‬
‫نوع االختبار العملية‬
‫ال����ف����ح����ص فحص هيكل الخطة وعناصرها‬
‫المكتبي‬
‫مناقشة نظرية الخطة للتحقق‬ ‫التفقّد‬
‫من مدى إمكانية االستعانة بها‬
‫استخدام الخطة لتقديم استجابة‬ ‫المحاكاة‬
‫( التشبيه ) أو نظرية لحادث ما‬
‫اختبار الوحدة تأكيد إجراء االسترداد أو استرداد‬
‫جزء من األعمال التكنولوجية‬
‫مراجعة الوحدة ممارسة إج��راءات االسترداد أو‬
‫استرداد جزء من التكنولوجيا‪،‬‬
‫بحسب النص‪.‬‬
‫اخ���ت���ب���ار من التحقق من استرداد نطاق كامل‬
‫ال��ب��داي��ة إل��ى من أعمال المؤسسة (إجراءات‬
‫األعمال أو المنتجات أو الخدمات‬ ‫النهاية‬
‫أو التقنيات المترابطة)‪.‬‬
‫ال���م���راج���ع���ة ممارسة اس��ت��رداد نطاق كامل‬
‫من المؤسسة‪ ،‬إجراءات األعمال‬ ‫الكاملة‬
‫أو المنتجات أو الخدمات أو‬
‫التقنيات المتكاملة‪ ،‬بحسب‬
‫النص‪.‬‬
 ‫أ‪ 11-8-‬التطوير ال ُمستمر إلدارة استمرارية األعمال‬
‫أ‪ 1-11-8-‬المتطلّبات‬
‫يجب على المؤسسة إجراء مراجعة‪ ،‬بد ًءا من تحليل التأثير على األعمال وتقييم المخاطر‪ ،‬وصوال إلى استراتيجية‬
‫استمرارية األعمال وخططها‪ ،‬وذلك بصفة منتظمة‪ ،‬في ح ٍّد أدنى‪ ،‬مرة كل عام‪ .‬تهدف هذه المراجعة إلى التحقق‬
‫من أن جميع وثائق قدرة استمرارية أعمال المؤسسة‪ ،‬سارية ومتماشية مع األهداف االستراتيجية للمؤسسة‪.‬‬
‫كما يجب أن يت ّم إجراء هذه المراجعة‪ ،‬بصورة رسمية‪ ،‬من قبل المدقّق الداخلي أو مدير استمرارية األعمال‪،‬‬
‫ويت ّم على أثر هذه المراجعة تقديم تقرير لإلدارة العليا‪ .‬كما تكون المراجعة والتحديث ضروريين عند حدوث‬
‫تغيير في المؤسسة‪ ،‬سواء في خدماتها أو أعمالها‪ ،‬أو عند حدوث تغيير في اإلدارة العليا فيها‪.‬‬

‫أ‪ 2-11-8-‬منهجية للتحسين المستمر لقدرة استمرارية األعمال‬

‫تُمكن االستعانة باإلجراء التالي‪ ،‬للمراجعة الدورية والتحسين المستمر لقدرة استمرارية أعمال المؤسسة‪:‬‬

‫النطاق واألهداف‬
‫يجب أن يقوم الشخص‪ /‬الفريق المراجع مبدئياً‪ ،‬بإعالم إدارة المؤسسة بقرب إجراء المراجعة‪ ،‬من أجل ضمان‬
‫توافر األفراد المناسبين إلجراء المراجعة‪ .‬يت ّم الترتيب للمراجعة تماماً مثلما يت ّم الجتماع رسمي مع الموظفين‬
‫المشتركين في برنامج الستمرارية األعمال الوظيفية واإلدارية‪ .‬تشتمل وثائق االجتماع على جميع خطط العمل‬
‫سجل‬
‫واالتفاقيات الالزمة لتنفيذ هذه الخطط‪ .‬ويتم إضافة جميع المخاطر التي ت ّم التع ُّرف عليها مؤ َّخرا ً‪ ،‬إلى ّ‬
‫المخاطر‪ .‬يُعقد االجتماع األول مع اإلدارة العليا‪ ،‬للوقوف على ما إذا كانت قد ت َّمت معالجة التغييرات الجوهرية‬
‫التي أُدخلت على أهداف المؤسسة واتجاهها من عدمه‪ .‬يجب تقييم أية تغييرات لم يت ّم التع ُّرف عليها أو‬
‫معالجتها‪ ،‬للتأثير على قدرة استمرارية أعمال المؤسسة‪ .‬يت ّم إدخال تحديثات على نطاق برنامج استمرارية‬
‫األعمال‪ ،‬حسب الحاجة‪.‬‬
‫مراجعة تحليل التأثير على األعمال‬
‫منسقي استمرارية األعمال الوظيفية أو اإلدارية‪ ،‬مناقشة ومراجعة التغييرات‬ ‫يجب أن تتض َّمن االجتماعات مع ِّ‬
‫في النطاق‪ .‬كما يجب أن تتض َّمن االجتماعات أيضاً‪ ،‬تحديثات لتحليل التأثير على األعمال‪ ،‬الناتج عن تلك‬
‫التغييرات في النطاق‪.‬‬

‫مراجعة االستراتيجية‬
‫يجب تقييم تحليل التأثير على األعمال‪ ،‬الذي ت َّم تحديثه ومضاهاته باستجابة المؤسسة وقدرتها على االستمرارية‬
‫والتعافي‪ .‬كما تجب أيضاً معالجة الفجوات التي تظهر في التحديثات التي يت ّم إدخالها على استراتيجية‬
‫استمرارية أعمال المؤسسة‪ .‬يت ّم تحديث سجل المخاطر حسب الحاجة‪ ،‬بما يتناسب مع التغييرات التي تطرأ‬
‫على استراتيجية استمرارية أعمال المؤسسة‪ .‬االجراءات التي ت َّم اتخاذها‪ ،‬أو التي تحتاج إلى إجراء لعالج‬

‫‪78‬‬
 ‫الجزء الثاني‪ :‬الدليل اإلرشادي‬

‫المخاطر‪ ،‬وفقاً للتغييرات في استراتيجية استمرارية أعمال المؤسسة‪ ،‬يت ّم تدوينها في ّ‬

‫سجل المخاطر‪.‬‬

‫مراجعة الخطة‬
‫تتم مراجعة الخطط واالجراءات‪ ،‬لضمان إجراء التحديثات‪ ،‬بما يتفق مع التغييرات في استراتيجية استمرارية‬
‫أعمال المؤسسة‪ ،‬باإلضافة إلى البنية التحتية الالزمة لتنفيذ االستراتيجية‪.‬‬
‫عالوة على أن مراجعة الخطط تتم أيضاً بين المؤسسة واألطراف الثالثة الهامة (مثل المو ِّردين والبائعين ومق ِّدمي‬
‫الخدمات) ‪ ،‬حيث أن خطط المؤسسة‪ ،‬مثلها مثل خطط األطراف الثالثة‪ ،‬من حيث كونها ف ّعالة ومؤثرة في‬
‫اإليفاء بأهدافها الخاصة بالتعافي واالسترداد‪.‬‬

‫مراجعة االختبار والتمرين‬

‫تظل خطط استمرارية أعمال المؤسسة وإجراءاتها مناسبة للغرض الذي ُص ِّم َمت من أجله‪ .‬والطريقة‬ ‫يجب أن ّ‬
‫األساسية لضمان هذا‪ ،‬هي إجراء اختبارات وتمرينات‪ ،‬باستخدام سيناريوهات تُثبت ما إذا كانت خطط وإجراءات‬
‫استمرارية أعمال المؤسسة ف ّعالة ومؤثرة في الوفاء بأغراض االسترداد والتعافي الخاصة بالمؤسسة‪.‬‬
‫وتنبغي مراجعة التقارير الناشئة عن هذه التمرينات‪ ،‬لضمان أن المؤسسة قد أثبتت تماماً أن خططها مناسبة‬
‫للغرض الذي ُص ِّم َمت من أجله‪ .‬كما يجب أيضاً اختبار وممارسة التغييرات الكبيرة‪ ،‬التي ت َّم إدخالها على الخطط‬
‫واإلجراءات‪ ،‬وذلك في أقرب فرصة ُممكنة‪ ،‬للتحقّق من أن المؤسسة تحافظ على قدرة استمرارية أعمالها‪.‬‬
‫أ‪ 3-11-8-‬النتائج (تقرير إدارة استمرارية األعمال)‬
‫يقوم الشخص المسؤول عن برنامج استمرارية األعمال في المؤسسة‪ ،‬بمراجعة برنامج استمرارية أعمالها‪،‬‬
‫ليت َّم بعدها إصدار تقرير قدرة استمرارية األعمال‪ .‬يحتوي هذا البرنامج على المعلومات التي تُثبت أن قدرة‬
‫استمرارية أعمال المؤسسة ال تزال مناسبة للغرض من عدمه‪ .‬وينبغي أن يوضح التقرير قدرة المؤسسة على‬
‫دعم أهدافها االستراتيجية والتشغيلية‪ .‬كما يجب أن يت ّم دعم التقرير بالمعلومات ال ُمستمدة من برنامج اختبار‬
‫وتمرين قدرة استمرارية أعمال المؤسسة‪ ،‬وأن يعالج التقرير المخالفات والمخاطر التي تتطلَّب المعالجة التي‬
‫ت َّم ترحيلها أو تحديدها في التقرير السابق‪.‬‬
‫(أنظر «نماذج مجموعة أدوات استمرارية األعمال ‪ »1‬لالطالع على نموذج تقرير قدرة استمرارية األعمال‬
‫و»أمثلة مجموعة أدوات استمرارية األعمال ‪ »2‬للحصول على نموذج تقرير‪).‬‬

‫أ‪ 4-11-8-‬عدم التوافق (المخالفات)‬

‫يجب إجراء استقصاء للوقوف على المخالفات‪ ،‬لوضع خطة إجراءات تصحيحية‪ ،‬لعالج المشاكل وتخفيف‬
‫آثار المخالفات وإجراء التغييرات الالزمة إلزالة سبب عدم التوافق مع المعيار‪ .‬الب ّد أن تكون طبيعة االجراء‬
‫التصحيحي وتوقيته مناسبين لحجم ال ُمخالفة وطبيعتها وآثارها ال ُمحتملة‪ .‬ينبغي على اإلدارة العليا ضمان تنفيذ‬
‫االجراءات الوقائية والتصحيحية‪ ،‬والتحقق من وجود متابعة منهجية لتقييم فعاليتها‪.‬‬

‫‪79‬‬
 ‫أ‪ 5-11-8-‬االجراءات الوقائية والتصحيحية‬
‫من الضروري أن تعمل المؤسسة في إطار حدود درجة المخاطر التي قد تتع َّرض لها‪ .‬يجب أن يخضع أي موقف‪،‬‬
‫يضع المؤسسة في مخاطرة تجاوز درجة قبولها للمخاطر‪ ،‬إلجراءات وقائية وتصحيحية‪ .‬كما يت ّم تدوين هذه‬
‫المخصص لحالة ال ُمخالفة‪ .‬كما تجب أيضاً‬
‫َّ‬ ‫االجراءات في تقرير قدرة استمرارية أعمال المؤسسة‪ ،‬أو التقرير‬
‫مقارنة تلك االجراءات الوقائية أو التصحيحية‪ ،‬بأهداف وسياسة إدارة استمرارية األعمال‪ ،‬لضمان تحقيق التوافق‬
‫ال ُمستمر‪.‬‬
‫(أنظر «نماذج مجموعة أدوات استمرارية األعمال ‪ »1‬لالطالع على نموذج التقرير المخصص لحالة المخالفة‬
‫و»أمثلة مجموعة أدوات استمرارية األعمال ‪ »2‬للحصول على نموذج تقرير‪).‬‬

‫يجب اتباع حاالت عدم التوافق وخيارات المعالجة ال ُمختارة لها‪ ،‬من أجل ضمان اتخاذ االجراء المناسب‪ ،‬ويت ّم‬
‫إعطاء األولوية لذلك االجراء‪ ،‬والسلطة للمسؤولين عنه‪ ،‬لكي يتمكَّنوا من تقديم المعالجة الناجحة للمخاطر‪ .‬وقد‬
‫تقتضي االجراءات الوقائية والتصحيحية‪ ،‬التي تتسبَّب في إحداث تغييرات على الخطط والعمليات واالجراءات‬
‫الخاصة بقدرة استمرارية أعمال المؤسسة‪ ،‬إجراء مراجعة تقييم للمخاطر وتحليل التأثير المتعلِّق بالتغييرات‪.‬‬

‫أ‪ 1-5-11-8-‬اإلجراءات الوقائية‬

‫تحتوي عملية اإلجراء الوقائي‪ ،‬على تحديد المخاطر والمخاطر المحتملة‪ .‬يُمكن تحقيق ذلك ‪ -‬في معظم‬
‫األحوال ‪ -‬عن طريق إدارة مخاطر المؤسسة‪ ،‬وذلك باتباع االجراءات المق َّررة‪.‬‬
‫عندما ال توجد وظيفة أو إجراء مق َّرر إلدارة المخاطر‪ ،‬ينبغي أن تُح ِّدد المؤسسة‪ ،‬وتد ّون معالجة المخاطر‪ ،‬وفقاً‬
‫لمنهجية تقييم المخاطر ال ُمستخدمة في تنفيذ برنامج استمرارية األعمال‪ .‬وفي حال عدم وجود منهجية لتقييم‬
‫المخاطر‪ ،‬قد تنظر المؤسسة في اتباع المنهجية ال ُمستخدمة في برنامج تحسين جودتها‪.‬‬
‫أ‪ 2-5-11-8-‬اإلجراءات التصحيحية‬
‫يجب أن تبدأ عملية اإلجراء التصحيحي‪ ،‬كجزء من التحقيق بعد كل حادث أو تمرين‪ .‬كما يُمكن أن يبدأ اإلجراء‬
‫التصحيحي ( تحسين الخطة ) أيضاً أثناء الطوارئ واألزمات والكوارث‪ ،‬إذا كانت الطوارئ واألزمات والكوارث‬
‫ستستمر لفترة زمنية مط ّولة‪ .‬ويجب أن تحتوي العملية على ما يلي‪:‬‬
‫ •وضع بيان يصف المشكلة ويح ِّدد تأثيرها وأسبابها‪.‬‬
‫ •مراجعة اإلجراء التصحيحي من التقييمات السابقة وتحديد الحلول المق َّدمة‪.‬‬
‫ •اختيار استراتيجية وتحديد أولويات لإلجراءات‪ ،‬حسب األهمية‪ ،‬وإتمام اإلجراءات وفق جدول بتواريخ مح َّددة‪.‬‬
‫ •تحديد الموارد المطلوبة لتنفيذ االستراتيجية‪.‬‬
‫ •توفير السلطة والموارد المطلوبة إلنجاز التغييرات وتحقيقها‪.‬‬
‫ •مراقبة تق ُّدم اإلجراء التصحيحي حتى إتمامه‪.‬‬
‫الحل بمج َّرد االنتهاء من اإلجراء التصحيحي‪.‬‬ ‫حل المشكلة من خالل التمرين أو اختبار ّ‬ ‫ •التحقق من ّ‬

‫‪80‬‬
 ‫الجزء الثاني‪ :‬الدليل اإلرشادي‬

‫أ (أ) بعد إجراء تحليل التأثير على األعمال وتقييم المخاطر‪ ،‬يت ّم اكتشاف عدة فجوات وثغرات يجب القيام‬
‫بإصالحها فورا ً‪ ،‬من أجل التمكُّن من السيطرة على استمرارية أعمال المؤسسة في حال التع ُّرض لحالة طارئة‪،‬‬
‫وبنا ًء عليه يت ّم إعطاء هذه الفجوات أولوية المعالجة‪.‬‬

‫أ (ب) الب ّد من أن تكون أهمية وحجم ذلك اإلجراء الوقائي متواكبة مع حجم التأثير المتوقّع في حال حدوث‬
‫ذلك الطارئ‪ ،‬وذلك يح ِّدد أيضاً حجم الميزانية‪ ،‬إذا تطلب األمر‪.‬‬

‫أ (جـ) المتطلّبات التالية‪ ،‬هي المطلوبة إليضاح توثيق االجراءات الوقائية‪ ،‬وهي‪:‬‬
‫تحديد نقاط عدم التوافق المحتملة وأسبابها‪.‬‬
‫تحديد وتنفيذ اإلجراءات الوقائية المطلوبة‪.‬‬
‫سجل اإلجراءات الوقائية‪.‬‬
‫تسجيل ومراجعة نتائج اإلجراءات ال ُمتخذة في ّ‬
‫المختصة بالمؤسسة‪ ،‬لديها قائمة باإلجراءات ال ُمتّخذة‪ ،‬السيما في حال وجود أيّة‬
‫َّ‬ ‫يجب التأكُّد من أن السلطة‬
‫مخالفات أو حاالت عدم توافق‪.‬‬

‫أ‪ 6-11-8-‬المطابقة والتصديق‬

‫يجب أن تكون المطابقة مع هذا المعيار‪ ،‬عبارة عن عملية مستمرة‪ ،‬ويُمكن إجراؤها وفق برامج المراجعة‬
‫الداخلية للمؤسسة أو برامج الضمان الخارجية‪.‬‬
‫وفقاً لهذا المعيار‪ ،‬تُساهم المطابقة في أن تضمن للمؤسسة أن الخطط والعمليات واالجراءات والفرق واألدوات‬
‫والمع ّدات والمرافق والدعم الالزم لتنفيذ استجابتها‪ ،‬وإدارة الحوادث واالتصاالت وخطط استمرارية األعمال‪،‬‬
‫كانت مط َّبقة في الفترة الزمنية المح َّددة التي ت َّم فيها إجراء الفحص أو االعتماد‪.‬‬
‫إن اعتماد قدرة استمرارية أعمال المؤسسة وفقاً لإلجراء الرسمي‪ ،‬ليس ضماناً بأنها ستنجح في إدارة العطل‪.‬‬

‫أ‪ 7-11-8-‬التقيُّد والمراجعة الداخلية‬

‫أ‪ 1-7-11-1-8-‬يجب أن تضمن العملية الرسمية لتدقيق استمرارية األعمال أن لدى المؤسسة برنامج ف ّعال‬
‫إلدارة استمرارية األعمال‪ .‬يتل َّخص الغرض من تدقيق استمرارية األعمال‪ ،‬كما يلي‪:‬‬
‫ •التحقق من االمتثال لسياسات استمرارية أعمال المؤسسة وإجراءاتها‪.‬‬
‫ •مراجعة حلول استمرارية أعمال المؤسسة‪.‬‬
‫ •التحقق من خطط استمرارية أعمال المؤسسة‪.‬‬
‫ •التحقق من توافر أنشطة الممارسة المناسبة والمحافظة‪.‬‬
‫ •إبراز أو ُجه القصور وفجوات االمتثال‪.‬‬

‫‪81‬‬
 ‫حل هذه الفجوات‪.‬‬ ‫ •ضمان ّ‬
‫ •يجب إجراء عمليات التدقيق على أساس ُمنتظم‪ ،‬حسبما تح ِّدده سياسات الحوكمة والتدقيق الخاصة‬
‫بالمؤسسة‪ ،‬والتأكُّد مما يلي‪:‬‬
‫ •التق ّيد بهذا المعيار‪.‬‬
‫ •التوافق مع أهداف وسياسة إدارة استمرارية األعمال‪.‬‬
‫ •التطبيق والتنفيذ واالستدامة بالشكل المناسب‪.‬‬
‫ •الفعالية في اإليفاء باألهداف التي وضعت لمقدرة المؤسسة على إدارة استمرارية األعمال‪.‬‬

‫أ‪ 2-7-11-1-8-‬بالنسبة إلى استمرارية األعمال‪ ،‬يوصى بأالّ تزيد الفترة بين عمليات التدقيق عن العام الواحد‪.‬‬
‫وخالل هذا الوقت‪ ،‬يت ّم إجراء تقييم ذاتي ومراقبة أداء (من خالل مراجعة تقارير ما بعد التمرين وما بعد‬
‫الطوارئ واألزمات والكوارث) ‪ ،‬وذلك حسب الحاجة‪ ،‬من قبل أصحاب خطط استمرارية أعمال المؤسسة‪،‬‬
‫لضمان بقائها مناسبة للغرض‪ .‬وتشتمل مجموعة وثائق استمرارية األعمال الحالية التي تق ّدم إلى المسؤولين‪،‬‬
‫على إجراء التدقيقات الداخلية أو الخارجية على نسخ من‪:‬‬
‫ •سياسة استمرارية األعمال الخاصة بالمؤسسة‪.‬‬
‫ •أدوار ومسؤوليات وموارد استمرارية األعمال في المؤسسة‪.‬‬
‫ •تقارير التق ُّدم لمشاريع استمرارية األعمال الخاصة بالمؤسسة‪.‬‬
‫ •سجالّت التدريب والكفاءة لموظفي استمرارية األعمال‪.‬‬
‫ •ال ُمخرجات المأخوذة من تحليل التأثير على األعمال وتحليل االسترداد ومتطلبات االستمرارية‪.‬‬
‫ •تقييمات التهديدات‪.‬‬
‫ •استراتيجيات استمرارية األعمال‪ ،‬بما فيها الوثائق التي تدعم اختيار االستراتيجيات ال ُمتّبعة‪.‬‬
‫ •دعم مستوى الموارد‪.‬‬
‫ •خطط االستجابة للحوادث‪.‬‬
‫ •خطط إدارة الحوادث‪.‬‬
‫ •خطط استمرارية األعمال‪.‬‬
‫ •برنامج التمرين‪.‬‬
‫ •تقارير التمرينات واالختبارات‪.‬‬
‫ •برنامج التوعية والتدريب‪.‬‬
‫ •اتفاقيات مستوى الخدمة مع العمالء والمو ِّردين‪.‬‬
‫ •عقود خدمات التعافي للغير‪ ،‬مثل أماكن العمل والمخلفات‪.‬‬
‫ •برنامج (تدقيق) الصيانة والمراجعة‪ ،‬والتقارير واإلجراءات التصحيحية‪.‬‬

‫‪82‬‬
 ‫الجزء الثاني‪ :‬الدليل اإلرشادي‬

‫أ‪ 3-7-11-8-‬إجراءات التدقيق الداخلي‬

‫لتعريف نطاق التدقيق‪:‬‬
‫‪ -1‬تحديد حوكمة الشركات وااللتزام‪ ،‬واألمور األخرى التي يتق َّرر تدقيقها‪.‬‬
‫‪ -2‬تحديد األماكن واإلدارات واألنشطة التي سيت ّم تدقيقها‪.‬‬
‫‪ -3‬لتعريف منهج التدقيق‬
‫‪ -4‬تحديد أنشطة التدقيق التي سيتم إجراؤها‪ ،‬على سبيل المثال‪ ،‬استطالعات الرأي والمقابالت وجهاً‬
‫لوجه ومراجعة الملفات و‪/‬أو مراجعة الحلول‪.‬‬
‫‪ -5‬تحديد الجدول الزمني للتدقيق ومواعيد االستحقاق‪.‬‬
‫‪ -6‬تحديد معايير (مقاييس) تقييم التدقيق‪.‬‬
‫ختصين والخبراء‪ ،‬كطرف ثالث إلجراء التدقيق‪.‬‬ ‫‪ -7‬تحديد متطلّبات التدقيق من ِقبل ال ُم ِّ‬
‫لمراجعة المعلومات وتجميعها أثناء أنشطة التدقيق‪:‬‬
‫‪ -1‬تجميع وتلخيص مذكرات المقابالت واستطالعات الرأي ومصادر األدلة األخرى‪.‬‬
‫‪ -2‬تحديد الفجوات في المحتوى ومستوى المعلومات ال ُمج ّمعة‪ ،‬ثم إجراء مقابالت إضافية أو متابعة‬
‫حسب الضرورة‪.‬‬
‫‪ -3‬الحصول على الوثائق ذات الصلة ومقارنتها‪ ،‬على سبيل المثال‪ ،‬تحليل التأثير على األعمال مع بيانات‬
‫المقابلة ومعلوماتها من مصادر أخرى‪ ،‬مثل عمليات المراجعة والفحص المادي أو أخذ ع ّينات‬
‫الختبارها‪.‬‬
‫‪ -4‬المصادر الثانوية المرجعية‪ ،‬مثل المعايير واللوائح والمبادئ التوجيهية للممارسة الج ّيدة العتماد‬
‫النتائج التمهيدية‪.‬‬
‫‪ -5‬من وجهة نظر ُمتعلقة بالتدقيق الذي يعكس اهتمامات مراقب التدقيق والقياسات الموضوعة من‬
‫المصادر الخارجية‪ ،‬مثل المعايير التنظيمية أو القانونية أو الصناعية‪.‬‬
‫‪ -6‬تحديد معيار تقييم نتائج التدقيق‪.‬‬
‫‪ -7‬تخصيص وزن ‪ /‬تقييم نتائج التدقيق‪ ،‬لتحديد ما إذا كانت تشكّل مخالفة ذات مستوى منخفض أو‬
‫متوسط أو مرتفع‪.‬‬

‫أ‪ 4-7-11-8-‬تقرير التدقيق الداخلي‬

‫إلعداد تقرير التدقيق الداخلي‪ ،‬يجب أن يحتوي على‪:‬‬
‫أ (أ) مسودة تقرير للمناقشة مع الجهات المعنية األساسية‪.‬‬
‫ •تقرير تدقيق ُمتفق عليه يتض َّمن التوصيات‪ ،‬باإلضافة إلى استجابات التدقيق‪ ،‬حيث تظهر خالفات اآلراء‪.‬‬
‫ •خطة ُمتفق عليها لالجراءات العالجية‪ ،‬وتشتمل على جداول زمنية لتنفيذ التوصيات الواردة في تقرير التدقيق‪.‬‬
‫ •عملية رصد مستقلة عن برنامج المحافظة‪ ،‬لقدرة استمرارية أعمال المؤسسة‪ ،‬لضمان المتابعة المناسبة‬
‫لخطة عمل التدقيق‪.‬‬

‫‪83‬‬
 ‫أ (ب) يرفع لإلدارة العليا التالي‪:‬‬
‫ختصة‪.‬‬
‫ •تقرير مستقل لتدقيق استمرارية األعمال ُمتفق عليه و ُمعتمد من جانب اإلدارة ال ُم َّ‬
‫ •خطة‪/‬خطط العمل العالجية ال ُمتفق عليها وال ُمعتمدة من جانب اإلدارة العليا‪.‬‬
‫ •يجب أن تشتمل نتائج التقدير غير المالئم‪ ،‬على ما يلي‪:‬‬
‫ختصة‪.‬‬
‫ •التسليم بـ «نقص» خطط استمرارية األعمال من قبل اإلدارة ال ُم َّ‬
‫ •تاريخ بدء مراجعة استمرارية األعمال التي تجرى من قبل اختصاصي استمرارية األعمال‪ ،‬لمساعدة‬
‫المؤسسة في تحسين تقييمها‪.‬‬
‫ •يجب تعريف السياسة الخاصة بتكرار التدقيق بوضوح‪ ،‬كما يجب تدوينها في سياسة تدقيق المؤسسة ومعاييرها‪.‬‬

‫أ‪ 9-‬تقييم وقياس إدارة استمرارية األعمال‬

‫أ‪ 1-9-‬المراجعة السنوية لقدرة استمرارية األعمال‬

‫الب ّد من تقييم قدرة خطط استمرارية األعمال وبنيتها التحتية‪ ،‬على فترات ُمنتظمة‪ ،‬على األقل مرة سنوياً‪ ،‬كجزء‬
‫من عملية االعتماد‪.‬‬
‫لمزيد من المعلومات‪ ،‬وكجزء من عملية االعتماد‪ ،‬فإن اعتماد طريقة التقييم الرسمية سوف تتبع العملية‬
‫المح َّددة أدناه‪:‬‬
‫عملية االعتماد لقدرة تقدير وتقييم استمرارية األعمال‬

‫تقديم التقارير‬ ‫تحديد أوجه‬ ‫تحليل البيانات‬ ‫جمع البيانات‬ ‫األعداد‬

‫والتوصيفات‬ ‫القصور‬

‫األنتهاء‬ ‫تحديد أوجه‬ ‫الجمع الكمي‬

‫تحليل‬ ‫فهم األهداف‬
‫من وضع‬ ‫القصور‬ ‫والكيفي‬
‫البيانات‬ ‫والتوقعات‬
‫التوصيات‬ ‫الرئيسية‬ ‫للبيانات‬

‫مراجعة‬ ‫إعطاء األولوية‬ ‫التعرف عىل‬

‫املراجعة‬ ‫التقييم‬
‫اإلدارة للنتائج‬ ‫للمتطلبات‬ ‫الزيادات و‪/‬‬
‫والتوثيق‬ ‫األويل‬
‫العالجية‬ ‫أو النواقص‬

‫جمع معلومات‬ ‫إجراء‬ ‫تحديد نطاق‬

‫االنتهاء من‬ ‫وضع‬
‫إضافية إن دعت‬ ‫التقييم‬
‫االمتثال‬ ‫التوصيات‬ ‫املقابالت‬
‫الحاجة‬ ‫ومنهجه‬

‫‪84‬‬
 ‫الجزء الثاني‪ :‬الدليل اإلرشادي‬

‫يتض َّمن الحصول على االعتماد‪ ،‬تقديم األدلّة التي تثبت أن خطط استمرارية أعمال المؤسسة وإجراءاتها وبنيتها‬
‫التحتية‪ ،‬سوف تحقّق أهداف التعافي واالسترداد الخاصة بها‪ ،‬حسب المح َّدد في تحليل التأثير على األعمال‪،‬‬
‫والوارد في سياسة استمرارية األعمال‪ ،‬وال ُمدرج في نطاق برنامج استمرارية األعمال الخاص بالمؤسسة‪.‬‬
‫عندما ال يت ّم اإليفاء بأهداف قدرة استمرارية األعمال الخاصة بها‪ ،‬يت ّم وضع خطة العمل التي تح ِّدد الخطوات‬
‫الالزمة لتحقيق األهداف ورصد النجاح في عمل ذلك‪.‬‬
‫تركّز عملية االعتماد على قدرة المؤسسة على ضمان توافر المزيج الصحيح من التدريب والدعم والخطط‬
‫والموارد البشرية والقيادة والمعدات والمرافق‪ ،‬للوفاء بأهداف القدرة الخاصة بالمؤسسة أثناء الطوارئ‬
‫واألزمات والكوارث‪ .‬تشتمل هذه العملية على مزيج من سيناريوهات التأثير والتدريب ال ُمعتمد على المهام‪،‬‬
‫ألنه يركِّز على قدرة المؤسسة على التعامل مع سيناريوهات المهام‪.‬‬
‫وتستلزم عملية االعتماد من المؤسسة‪ ،‬أن تصف العملية المستخدمة لتحديد قدراتها وحدودها في اإلعداد‬
‫للحادث واالستجابة له‪ .‬يجب أن يقدم تحليل التأثير على األعمال وتقييم المخاطر‪ ،‬هذه المعلومات األساسية‪،‬‬
‫ويوفر تبريرا ً واضحاً لمواصفات متطلبات االسترداد الخاصة بها‪ .‬كما تستلزم عملية االعتماد من المؤسسة‪ ،‬أن‬
‫تظهر كيفية تلبية قدراتها المخططة بمتطلبات االسترداد‪ ،‬والتي ت َّم النظر بعين االعتبار إلى خياراتها في تطوير‬
‫استراتيجية استمرارية األعمال وسبب اختيار االستراتيجية‪.‬‬
‫يُعتبر األسلوب األساسي إلثبات استراتيجية استمرارية أعمال المؤسسة مناسباً‪ ،‬حيث أنه يضمن استمرارية‬
‫األنشطة الهامة والواردة في تحليل التأثير على األعمال‪ ،‬مقابل التهديدات الواردة في تقييم المخاطر‪ ،‬وأن‬
‫خططها مناسبة للغرض‪ ،‬وأنها تت ّم من خالل ممارسة هذه الخطط واختبارها‪.‬‬
‫ولهذا السبب‪ ،‬فإن نتائج تمارينها واختباراتها تُعتبر أساسية في تدوين قدرة استمرارية األعمال الخاصة بالمؤسسة‬
‫عندما تخضع للتقييم من أجل االعتماد‪ .‬ومن ث ّم‪ ،‬تشكل خطط وتقارير االختبار جز ًءا ً من األدلّة الخطّية المطلوبة‬
‫لالعتماد‪( .‬أنظر «نماذج مجموعة أدوات استمرارية األعمال ‪ »1‬للحصول على نماذج االختبارات والتمرينات)‪.‬‬

‫أ‪ 2-9-‬مراجعة المو ِّردين األساسيين‬

‫في إطار المراجعة السنوية‪ ،‬يُتوقّع من المؤسسة أن تُثبت أنها وضعت المستوى المناسب من التفاعل مع الغير‪،‬‬
‫السيما مع مو ِّرديها الها ّمين‪ .‬ويجب أن تشتمل الخطوات ال ُمتخذة لتحقيق هذا التفاعل‪ ،‬على ما يلي‪:‬‬
‫أ‪ 1-2-9-‬مراجعة حالة استمرارية أعمال المورد‪ ،‬والتحقق من أنها مقبولة بالنسبة إلى المؤسسة‪:‬‬
‫ •دمج إجراءات إدارة الحوادث مع المو ِّرد‪ ،‬لضمان وجود عملية رسمية لإلخطارات الوقتية من قبل أ ّي‬
‫من الطرفين في حالة تعطل األعمال‪.‬‬
‫ •تطبيق مستويات مقبولة من االسترداد والتعافي السريع الف ّعال‪ ،‬من حيث التكلفة في عمليات األعمال‪،‬‬
‫للتخفيف من إخفاق الغير‪.‬‬

‫‪85‬‬
‫أ‪ 2-2-9-‬إجراء تمرينات لتقييم وإثبات االسترداد والتعافي السريع لخطط استمرارية أعمال الغير من المو ِّردين‬
‫أو األطرف التالية‪ ،‬للتأكُّد من قدرتهم على االستمرار في تقديم خدماتهم واإليفاء بالتزاماتهم التعاقدية مع‬
‫المؤسسة‪.‬‬
‫(أنظر «نماذج مجموعة أدوات استمرارية األعمال ‪ »1‬للحصول على نماذج استطالعات الرأي والتقييم)‪.‬‬

‫أ‪ 3-9-‬مراجعة العمالء والطرف الثالث‬

‫عندما تقوم المؤسسة بتوريد المنتجات للعمالء والزبائن‪ ،‬فإن خطط إدارة الحوادث واستمرارية األعمال‬
‫تحتاج إلى المراجعة بنا ًء على أهداف األعمال الخاصة بالزبائن والعمالء‪ ،‬لضمان أن المؤسسة تستطيع الوفاء‬
‫بتوقعاتهم‪ ،‬وتحقيق شروط عقودها واتفاقياتها معهم‪ ،‬قياساً على تحليل التأثير على األعمال التي ت َّم إنجازها‬
‫في المؤسسة‪ .‬وكذلك فحص تلك المقدرة من خالل التمارين المذكورة سابقا‪.‬‬

‫أ‪ 4-9-‬مراجعة ما بعد الطوارئ واألزمات والكوارث‬

‫السبب‪ ،‬باإلضافة‬ ‫تجب مراجعة جميع أحداث تعطل األعمال وتحليلها‪ ،‬من أجل تحديد مستوى التأثير وتحديد َّ‬
‫إلى اإلجراءات الوقائية والتصحيحية المطلوبة‪ .‬والب ّد من تدوين نتائج هذا التحليل وتلخيصها وتوفيرها كجزء‬
‫من تقرير تقييم قدرة استمرارية األعمال‪ ،‬وأن تشمل النقاط التالية‪:‬‬
‫ •طبيعة وسبب الطارئ أو األزمة أو الكارثة‪.‬‬
‫ •تقييم ردة فعل اإلدارة في اإليفاء بأهداف استمرارية المؤسسة‪.‬‬
‫ •تقييم فاعلية المؤسسة في اإليفاء بأهداف التعافي إلدارة استمرارية األعمال‪.‬‬
‫ •تحديد التغييرات المطلوبة لتحسين مقدرتها على استمرارية األعمال‪.‬‬
‫ •‬
‫أ‪ 5-9-‬التقرير السنوي لتقييم إدارة استمرارية األعمال‬
‫يجب أن يشتمل التقرير السنوي لتقييم إدارة استمرارية األعمال‪ ،‬على‪:‬‬ ‫ ‬
‫ •تلخيص قدرات المؤسسة على الوقاية والحماية واالستجابة والتعافي واالسترداد‪ ،‬من واقع خططها‬
‫ووثائق اختباراتها لألدوات والمع ّدات والبنية التحتية‪ ،‬وسجالّت تدريب موظفيها وتمرينهم‪.‬‬
‫ •وصف أو ُجه قصور المؤسسة ونقاط الضعف الرئيسة الموجودة فيها‪.‬‬
‫ •وصف االختبار والتمرين اللذين ت ّما في العام الماضي‪ ،‬ويشتمل ذلك على التواريخ والنتائج التي تُثبت‬
‫القدرة بنا ًء على المتطلبات واألهداف‪.‬‬
‫ •تقديم التوصيات بحيث تكون التحسينات واإلجراءات العالجية مطلوبة للحصول على االعتماد‪.‬‬
‫خصصة والتاريخ‪ ،‬بحيث يت ّم إتمام اإلجراء بحلوله‪.‬‬ ‫ •إدراج خطة لإلجراء مع الملكية ال ُم َّ‬
‫ •تفصيل أية تكاليف أو ميزانيات مطلوبة للحصول على االعتماد‪.‬‬
‫ •يُطلب تقرير تقييم قدرة استمرارية األعمال‪ ،‬كدليل وثائقي لالعتماد المبدئي‪ ،‬وسنوياً أثناء عملية إعادة االعتماد‪.‬‬
‫(أنظر «نماذج مجموعة أدوات استمرارية األعمال ‪ »1‬للحصول على نموذج تقرير تقييم قدرة استمرارية األعمال‪).‬‬

‫‪86‬‬
 ‫الجزء الثاني‪ :‬الدليل اإلرشادي‬

‫أ‪ 10-‬إدارة مراجعة قدرة استمرارية األعمال‬

‫أ‪ 1-10-‬مراجعة اإلدارة‬
‫للتحسن‪ ،‬والحاجة لتغييرات في سياسة استمرارية األعمال‪،‬‬ ‫ُّ‬ ‫تتض َّمن مراجعة اإلدارة‪ ،‬تقييم الفرص المتاحة‬
‫وأهداف األداء‪ ،‬والخطط والعمليات واإلجراءات وفرق العمل والمساندة‪ ،‬للتأكُّد من بقائها صالحة للتطبيق‪.‬‬
‫كما يجب أن يُغطي تقرير اإلدارة نطاق برنامج قدرة استمرارية أعمال المؤسسة‪ .‬كما ينبغي أن تت ّم جدولة هذه‬
‫المراجعة وتدوينها بشكل ُمستمر‪ .‬من ال ُممكن في المؤسسات الصغيرة أن تت ّم مراجعة جميع عناصر البرنامج‬
‫في الوقت نفسه‪ .‬أما في المؤسسات الكبرى‪ ،‬فقد ال يكون من ال ُممكن القيام بذلك‪ ،‬وقد يت ّم إجراء المراجعة‬
‫على مدار فترة زمنية مح َّددة‪.‬‬

‫أ‪ 2-10-‬وثائق مراجعة اإلدارة‬

‫قد يت ّم إجراء مراجعة اإلدارة‪ ،‬كجزء من مراجعة تقييم قدرة استمرارية األعمال والنتائج المدونة في تقرير تقييم‬
‫قدرة استمرارية األعمال‪.‬‬

‫أ‪ 3-10-‬معطيات مراجعة اإلدارة‬

‫تنظر «مراجعة اإلدارة مسؤولية» بعين االعتبار‪ ،‬إلى ما يلي‪:‬‬
‫ •األهداف االستراتيجية لألعمال‪.‬‬
‫ •األهداف المح َّددة في سياسة استمرارية األعمال‪.‬‬
‫ •المخاطر المح َّددة في تقييم المخاطر‪.‬‬
‫ •أهداف االسترداد والتعافي الواردة في تحليل التأثير على األعمال‪.‬‬
‫ •االستراتيجية المح َّددة على أثر ما سبق‪.‬‬
‫ •المعطيات المأخوذة من عمليات التدقيق الداخلي‪.‬‬
‫ •نتائج اختبار الخطط وممارستها‪.‬‬

‫إضاف ًة إلى اإلدارة العليا‪ ،‬يجب أن تشمل مراجعة قدرة استمرارية األعمال‪ ،‬األشخاص الذين يضطلعون بتنفيذ‬
‫منسقي استمرارية األعمال‪ ،‬وهؤالء هم المسؤولون عن إعداد ميزانيتها ورصد مواردها‪.‬‬ ‫خطط المؤسسة‪ ،‬مثل ِّ‬
‫كما يجب أن تشتمل هذه المراجعة أيضاً‪ ،‬على مراجعة تقرير تقييم قدرة استمرارية األعمال‪.‬‬

‫‪87‬‬
 ‫ل‬‫ا‬ ‫م‬ ‫التقيي‬
‫للتدقيق ال ذايت‬ ‫ر‬
‫دا‬ ‫ختبا رين‬
‫خيل‬ ‫تم‬

‫اال‬
‫وال‬
‫تقرير تقييم إدارة‬
‫استمرارية األعامل‬

‫السرتاتيجية‬
‫مراجعة اإلدارة‬

‫تحليل‬
‫ا‬ ‫و‬ ‫ل‬ ‫ييم عام‬
‫ر‪،‬‬
‫لس‬

‫ط‬
‫أل‬
‫ل‬

‫ا‬
‫ي‬

‫ا‬
‫خ‬
‫ا‬

‫عىل‬
‫ملتطلب سة ا‬

‫امل‬
‫آلثار‬
‫ا‬

‫رت‬‫س‬‫إل‬ ‫ا‬ ‫تق‬

‫ات التن اتيجية‬
‫ظيمية‬

‫عملية مراجعة إدارة استمرارية األعمال‬

‫إضاف ًة إلى مراجعة اإلدارة المجدولة بصورة دورية‪ ،‬قد تقع بعض األحداث التي تستدعي الحاجة إلى إجراء‬
‫مراجعة اإلدارة لقدرة استمرارية األعمال‪ .‬وتشتمل هذه األحداث على‪:‬‬
‫ •إكمال أو مراجعة سياسة استمرارية أعمال المؤسسة أو تقييم المخاطر أو تحليل التأثير على األعمال‪.‬‬
‫ •التغييرات األساسية التي تطرأ على تنظيم المؤسسة وأهداف أعمالها وعملياتها ومرافقها وأجهزة‬
‫تكنولوجيا المعلومات والبنية التحتية للبرامج‪.‬‬
‫ •التغييرات في االفتراضات في تقييم مخاطر المؤسسة وتحليل التأثير على األعمال‪.‬‬
‫ •التغييرات في درجة مخاطر المؤسسة‪.‬‬
‫ •التغييرات في المخاطر التي تواجهها المؤسسة‪ ،‬والتي تشتمل على المخاطر ال ُمتعلقة بالبيئة واألماكن‬
‫واألسواق التي تعمل فيها‪.‬‬
‫ •التغييرات في مو ِّردي المؤسسة وسلسلة اإلمداد الخاصة بها‪.‬‬
‫ •التغييرات الرئيسة التي يت ّم إدخالها على معايير استمرارية األعمال أو اللوائح والمبادئ التوجيهية‬
‫الخاصة بتخطيط االستمرارية داخل قطاع أعمال المؤسسة أو الصناعة‪.‬‬
‫ •مراجعة المتطلّبات القديمة‪ ،‬أو إضافة متطلّبات تنظيمية جديدة‪ ،‬وكذلك متطلّبات االمتثال في قطاع‬
‫المؤسسة أو الصناعة‪.‬‬

‫‪88‬‬
 ‫الجزء الثاني‪ :‬الدليل اإلرشادي‬

‫ •أحداث تعطل األعمال األخيرة التي أثرت بشكل مباشر على المؤسسة أو المؤسسات المشابهة في‬
‫قطاع المؤسسة أو الصناعة‪.‬‬
‫ •عندما يؤثر تعطل األعمال بصورة مباشرة على المؤسسة ذاتها‪ ،‬يجب أن ينظر تقرير اإلدارة‪ ،‬بعين‬
‫االعتبار‪ ،‬إلى سبب تفعيل الخطة ومدى نجاحها في ذلك‪.‬‬
‫ •عندما يؤثر تعطل األعمال على مؤسسة أخرى‪ ،‬يجب أن تحقق مراجعة اإلدارة في األسباب التي أ َّدت‬
‫إلى تفعيل المؤسسة األخرى‪ ،‬وتحديد ما إذا كان التعطل أو األحداث التي س َّببتها‪ ،‬قد أثرت على ملف‬
‫مخاطر أعمال المؤسسة‪.‬‬

‫أ‪ 4-10-‬مخرجات مراجعة اإلدارة‬

‫تتوقف المخرجات ال ُمستم َّدة من مراجعة اإلدارة على ما إذا كانت تقع كجزء من تقييم قدرة استمرارية‬
‫األعمال‪ ،‬أو ما إذا كانت تت ّم بشكل منفصل‪ .‬إذا كانت مراجعة اإلدارة ت َّمت كجزء من تقييم القدرة السنوية‬
‫للمؤسسة‪ ،‬يجب إدراج المخرجات في تقرير تقييم قدرة استمرارية األعمال‪ .‬في حالة إجراء مراجعة اإلدارة‬
‫بصورة مستقلة‪ ،‬سوف يت ّم إدراج ال ُمخرجات في وثيقة منفصلة تح ِّدد ما يلي‪:‬‬
‫ •نطاق المراجعة‬
‫ •أسباب المراجعة‬
‫ •الموظفون المشاركون في المراجعة‬
‫ •المجاالت التي يوجد فيها مشاكل‪ ،‬مع التشديد على جميع المخاطر البارزة‬
‫ •توصيات بشأن االجراءات التصحيحية والوقائية‬
‫ •مراجعة موجزة لالختبارات والتمرينات‬

‫يجب إدراج تقرير مراجعة إدارة استمرارية األعمال هذا‪ ،‬كدليل على شهادة اعتماد قدرة استمرارية أعمال‬
‫المؤسسة‪( .‬أنظر «نماذج مجموعة أدوات استمرارية األعمال ‪ »1‬للحصول على نموذج تقرير مراجعة اإلدارة‬
‫الستمرارية األعمال‪).‬‬

‫‪89‬‬
 ‫الجزء الثالث‬
‫نماذج إدارة استمرارية األعمال‬

‫‪90‬‬
 ‫الجزء الثالث‪ :‬نماذج إدارة استمرارية األعمال‬

‫‪ -1‬نموذج خطة استمرارية األعمال‬

‫إخالء المسؤولية‬
‫ت َّم إعداد هذا النموذج من قبل المجلس األعلى لألمن الوطني ‪ /‬الهيئة الوطنية إلدارة الطوارئ واألزمات‬
‫والكوارث‪ ،‬لكي تستعين به المؤسسات‪ ،‬في وضع خطط استمرارية األعمال وإدارة الحوادث‪.‬‬

‫وفي إطار سعينا لتطوير هذا النموذج‪ ،‬فإن الهيئة الوطنية إلدارة الطوارئ واألزمات والكوارث‪ ،‬على استعداد‬
‫لتقديم أية مساعدة‪ ،‬خدمات فنية أو مهنية‪ ،‬في مجال إدارة الحوادث أو استمرارية األعمال‪.‬‬

‫عند الحاجة للمساعدة الفنية أو المهنية‪ ،‬يت ّم توجيه المؤسسات إلى طلب االستشارة من ذوي االختصاص‬
‫المر َّخص لهم‪ ،‬وال ُمعتمدين من قبل الهيئة‪ِ ،‬م َّمن حصلوا على التدريب المناسب‪ ،‬ويتمتَّعون بالخبرة المهنية‬
‫المالئمة‪.‬‬

‫لمزيد من المعلومات عن تقييم المخاطر وتحليل التأثير على األعمال‪ ،‬وللتوجيه بشأن ما يجب إدراجه في خطة‬
‫استمرارية األعمال‪ ،‬يرجى االتصال بالهيئة الوطنية إلدارة الطوارئ واألزمات والكوارث ‪ /‬إدارة السالمة والوقاية ‪/‬‬
‫قسم استمرارية األعمال على رقم الهاتف‪ 02/4177000 :‬ــ ‪02/ 4177020‬‬

‫_____________________‬
‫_____________________‬
‫_____________________‬
‫_____________________‬
‫_____________________‬
‫_____________________‬
‫بيانات الخطة‬
‫تاريخ وضع الخطة‪ :‬‬
‫ ‬
‫تاريخ آخر تحديث للخطة‪:‬‬
‫تاريخ آخر مراجعة للخطة ‬
‫ ‬ ‫تاريخ اعتماد الخطة‪:‬‬
‫اسم معتمد الخطة ووظيفته‪ :‬‬
‫ ‬ ‫توقيع معتمد الخطة‪:‬‬

‫قد تستعين المؤسسات بهذا النموذج كدليل لمساعدتها في وضع خطة إدارة الحوادث واستمرارية األعمال‪.‬‬
‫يجب اتباع النموذج على النحو المطلوب بما يتناسب مع حجم المؤسسة وعملياتها‪.‬‬

‫قائمة توزيع الخطة‬

‫يعرض هذا القسم بيانات االتصال لجميع الموظفين‪ ،‬واألماكن التي تتوافر فيها نسخ من الخطة‪.‬‬

‫‪91‬‬
‫الب ّد من وجود قائمة بأسماء األشخاص واألماكن‪ ،‬حيث تتوفَّر نسخ من الخطة‪ ،‬لضمان ضبط جميع النسخ‪ ،‬بغرض‬
‫التأكُّد من أن جميع النسخ سارية المفعول‪ ،‬ومواكبة ألحدث المراجعات والتحديثات الصادرة‪.‬‬
‫إذا كانت القائمة مكونة من أكثر من ‪ 12-10‬بندا ً‪ ،‬فسوف يت ّم إيرادها في ملحق إضافي‪.‬‬

‫املكان‬ ‫االسم‬ ‫رقم النسخة‬

‫‪001‬‬
‫‪002‬‬
‫‪003‬‬
‫‪004‬‬
‫‪005‬‬
‫‪006‬‬
‫‪007‬‬
‫‪008‬‬
‫‪009‬‬
‫‪010‬‬
‫‪011‬‬
‫‪012‬‬

‫المقدمة‬
‫يكمن الغرض من هذه الخطة في دعم أعمال إدارة الحوادث‪ ،‬واستمرارية األعمال الالزمة لتلبية المتطلبات‬
‫التنظيمية والتجارية لمؤسسة ما‪ ،‬باإلضافة إلى وفائها بالتزاماتها التعاقدية وتوقعات الجهات المعنية وأصحاب‬
‫الشأن‪ ،‬تبعاً لألحداث التي قد تعطّل بشكل كبير قدرتها على العمل‪.‬‬
‫تق ّدم هذه الخطة المعلومات الالزمة للتفاعل مع حدث ما‪ ،‬واالستجابة له‪ ،‬والحفاظ على استمرارية األنشطة‬
‫الضرورية ‪ /‬األساسية‪ ،‬وتوفير القدرة على العودة إلى العمليات الطبيعية‪.‬‬

‫النطاق‬
‫يح ّدد هذا القسم من الخطة أماكن المؤسسة ومواقعها وإداراتها التي تشملها الخطة‪ .‬تُضاف الصفوف إلى‬
‫الجدول حسب الحاجة‪.‬‬
‫تشتمل أماكن العمل والمهام التي تشملها هذه الخطة‪ ،‬على ما يلي‪:‬‬

‫‪92‬‬
 ‫الجزء الثالث‪ :‬نماذج إدارة استمرارية األعمال‬

‫اإلدارات‪ /‬الوظائف الشاغرة‬ ‫االسم والعنوان‬

‫‪1‬‬
‫‪2‬‬
‫‪3‬‬
‫‪4‬‬
‫‪5‬‬

‫األحداث والسيناريوهات التي ت َّم تناولها‬

‫يح ِّدد هذا القسم من الخطة‪ ،‬األحداث واألعطال التي تتولّى الخطة تناولها ومعالجتها‪.‬‬
‫وينبغي أن تقوم الخطة بتناول فرضيتين في ح ٍّد أدنى‪:‬‬
‫ •فقدان موقع العمل الرئيس‪ ،‬أو تعذُّر الوصول إليه‪.‬‬
‫ •عدم إمكانية الوصول إلى تطبيقات وأنظمة الكمبيوتر‪ ،‬أو البنية التحتية التكنولوجية الالزمة للعمليات‬
‫الطبيعية‪.‬‬

‫بنا ًء على تقييم مخاطر المؤسسة‪ ،‬يتع َّين النظر بعين االعتبار‪ ،‬إلى األحداث واألعطال التي‪:‬‬
‫ •هي من فعل الطبيعة‪ ،‬أو نجمت عن الحرائق أو الفيضانات أو الزالزل أو غير ذلك‪ .‬س َّببتها األعطال‬
‫التكنولوجية أو أعطال النظام أو انقطاع التيار الكهربي أو انقطاع االتصاالت أو غير ذلك‪.‬‬
‫ •هي من فعل اإلنسان‪ ،‬مثل‪ :‬أعمال التخريب واألعمال اإلجرامية من قبل الموظفين داخل المؤسسة أو‬
‫خارجها‪ ،‬وتأثير هذه األعمال على قدرة المؤسسة على الوفاء بمتطلباتها التنظيمية‪ ،‬وكذلك التزاماتها‬
‫القانونية والتعاقدية وتوقعات الجهات المعنية وأصحاب الشأن‪.‬‬
‫ •باإلضافة إلى األحداث التي تؤثر على مبنى أو مكان واحد‪ ،‬ينبغي على المؤسسات أيضاً النظر بعين‬
‫االعتبار‪ ،‬إلى األحداث التي تؤثر على إحدى المناطق الجغرافية (مثل انقطاع التيار الكهربي أو‬
‫الفيضانات أو الطقس الحاد أو غير ذلك)‪.‬‬
‫علماً بأن هذه األخطار ت َّم وضعها بعد إعداد تقييم المخاطر للمؤسسة‪ ،‬أو ت َّم أخذها من سجل المخاطر التابعة‬
‫للجهة الرئيسة ‪ /‬األم للمؤسسة‪.‬‬
‫تم وضع هذه الخطة لتناول األحداث وتوقفات األعمال التالية‪:‬‬

‫األهداف‬
‫يق ّدم هذا القسم من الخطة نظرة شاملة عن أهداف التعافي المح َّددة بالنسبة إلى اإلدارات الكبرى التابعة‬
‫للمؤسسة أو المجموعات الوظيفية‪ .‬هذه األهداف مح ّددة في تحليل التأثير على األعمال «‪.»BIA‬‬

‫‪93‬‬
 ‫يشمل هذا القسم أيضاً افتراضات التخطيط الخاصة بالمؤسسة‪.‬‬
‫سيتم ذكر جميع التفاصيل المعنية بأهداف التعافي واألطر الزمنية في ملحق إضافي‪ ،‬إن دعت الحاجة‪.‬‬
‫تتل َّخص أهداف هذه الخطة في النقاط التالية‪:‬‬
‫إعداد الفريق ‪ /‬طلب الخطة‬
‫يشرح هذا القسم من الخطة‪ ،‬العملية الالزمة إلعداد وتجهيز فرق المؤسسة إلدارة الحوادث واستمرارية األعمال‪.‬‬
‫كما أنها تح ِّدد المعايير أو الحوافز التي ستتم االستعانة بها‪ ،‬لتحديد توقيت إعداد الفرق وطلب الخطة ذاتها‪.‬‬
‫كما يح ِّدد هذا القسم أيضاً‪ ،‬الموظفين الذين لهم سلطة طلب خطة استمرارية األعمال‪.‬‬

‫اإلنذار واإلشعار‬
‫يق ِّدم هذا القسم من الخطة شرحاً لعملية إنذار فريق االستجابة للحوادث بوقوع حادث ما‪ ،‬وإشعار أصحاب‬
‫الشأن الداخليين والخارجيين‪ ،‬بشأن التعطل الناجم عن ذلك الحادث‪ ،‬ب َمن فيهم ذوي االحتياجات الخاصة‪.‬‬

‫ال ِفرق ‪ /‬المجموعات‬

‫يوضح هذا القسم من الخطة التسلسل والهيكل الوظيفي لفرق‪ /‬لمجموعات إدارة الحوادث واستمرارية األعمال‬
‫في المؤسسة‪.‬‬

‫األدوار والمسؤوليات‬
‫يح ِّدد هذا القسم من الخطة الموظفين األساسيين واالحتياطيين الذين يضطلعون بتنفيذ أدوار رئيسة وقيادة‬
‫الفرق‪ ،‬لالستجابة للحوادث وتقييم األضرار واآلثار‪ ،‬وإدارة الحوادث والحفاظ على استمرارية األنشطة الحرجة‪.‬‬
‫يتع َّين على جميع األفراد ال ُمدرجة أسماؤهم في هذا القسم‪ ،‬مراجعة هذا الجدول والمعلومات التي يحتويها‬
‫للتحقّق من فهمهم لدورهم ومهامهم المكلَّفين بها‪.‬‬
‫كما تتع َّين مراجعة المعلومات الواردة في هذا القسم‪ ،‬كل ‪ 6-4‬أشهر‪ ،‬للتحقّق من أنها مح ّدثة‪.‬‬
‫وفي ما يلي‪ ،‬قائمة باألدوار الشائعة الموجودة لدى فرق إدارة الحوادث واستمرارية األعمال‪.‬‬

‫الفريق األساسي‬
‫ •قائد إدارة الحوادث (يتم اختياره من اإلدارة العليا)‬
‫ •مدير استمرارية األعمال‬
‫ •ممثل تكنولوجيا المعلومات‬
‫ •ممثل المرافق ‪ /‬الخدمات العامة (االتصال مع فريق تقييم األضرار)‬
‫ •ممثل االتصاالت ‪ /‬العالقات اإلعالمية‬
‫ •كاتب (لتسجيل محاضر االجتماعات والقرارات)‬

‫‪94‬‬
 ‫الجزء الثالث‪ :‬نماذج إدارة استمرارية األعمال‬

‫فريق الدعم‬
‫ •ممثل الموارد البشرية‬
‫ •ممثل الصحة والسالمة والبيئة( إن وجد )‬
‫ •ممثل األمن‬
‫ •ممثل قانوني‬
‫ •ممثلو التشغيل ودعم األعمال‬

‫وفي ما يلي‪ ،‬نموذج جدول يوضح األدوار والموظفين المكلَّفين بأداء هذه األدوار‪ ،‬والمسؤوليات التي تقع على‬
‫عاتقهم‪.‬‬

‫البديل‬ ‫األسايس‬ ‫الدور‬

‫االسم‪____________ :‬‬ ‫االسم‪____________ :‬‬

‫بيانات االتصال‪:‬‬ ‫بيانات االتصال‪:‬‬
‫قائد الفريق‬
‫‪-050xxx-yyyy‬‬ ‫‪-050xxx-yyyy‬‬

‫املسؤوليات‪:‬‬
‫التحقق من تفعيل الخطة‪.‬‬
‫اإلرشاف عىل التطبيق السلس لقسم االستجابة يف الخطة‪.‬‬
‫تحديد الحاجة لالستعانة باملواقع البديلة وتفعيل استخدامها‪.‬‬
‫التواصل مع أصحاب الشأن الرئيسيني حسب املحدد يف امللحق ‪.5‬‬
‫توفري بيانات فريق االتصاالت لتوزيعها عىل أصحاب الشأن والجهات املعنية الداخلية والخارجية‬
‫إطالع كبار املوظفني عىل التغيريات والتحديثات التي تطرأ عىل الحدث وحالة املؤسسة‬

‫‪ 5‬يتعين إدراج قائمة كاملة بأصحاب الشأن الرئيسيين في ملحق إضافي بهذه الخطة‪.‬‬

‫‪95‬‬
 ‫البديل‬ ‫األسايس‬ ‫الدور‬
‫االسم‪:‬‬ ‫االسم‪:‬‬
‫بيانات االتصال‪:‬‬ ‫بيانات االتصال‪:‬‬ ‫الوظيفة‬

‫البديل‬ ‫األسايس‬ ‫الدور‬

‫االسم‪:‬‬ ‫االسم‪:‬‬
‫بيانات االتصال‪:‬‬ ‫بيانات االتصال‪:‬‬ ‫الوظيفة‬

‫اإلخالء والتج ّمع‬

‫إذا لم تقم المؤسسة بتدوين إجراءات اإلخالء والتج ّمع في خطة أخرى‪ ،‬فإنه يجب تدوينها هنا‪.‬‬
‫يتع َّين أن تنص اإلجراءات على ما سيتم القيام به إلخالء الموظفين والز ّوار وذوي االحتياجات الخاصة من المبنى‪.‬‬
‫كما يجب أن تح ِّدد أيضاً اإلجراء ال ُمتَّبع لحساب عدد الموظفين الذين كانوا موجودين في المبنى‪.‬‬
‫يت ّم تحديد مناطق التج ّمع بالصور اإليضاحية‪ ،‬لتحديد المكان الذي ينبغي على السكان التو ُّجه إليه بعد إخالئهم‬
‫المبنى‪.‬‬
‫يتعيَّن على قسم االخالء في الخطة‪ ،‬تنفيذ ما يلي‪:‬‬
‫ •توفير مخطط الطوابق في مق ّر العمل‪.‬‬
‫ •تحديد أماكن خروج الطوارئ‪.‬‬
‫ •إدراج الخطوات التي يت ّم اتخاذها أثناء اإلخالء‪ ،‬لتقديم الدعم والمساعدة لل ُمع َّوقين وذوي االحتياجات الخاصة‪.‬‬
‫ •ذكر ما يتع َّين على جميع سكان المبنى القيام به‪ ،‬إذا كان اإلخالء ضرورياً‪.‬‬
‫ •تحديد منطقة تج ّمع واحدة أو أكثر‪ ،‬على بعد مسافة آمنة من المبنى‪.‬‬

‫‪96‬‬
 ‫الجزء الثالث‪ :‬نماذج إدارة استمرارية األعمال‬

‫االستجابة للحوادث‬
‫يحتوي هذا القسم من الخطة على المهام التي يتو َّجب على موظفي المؤسسة القيام بها‪ ،‬قبل أو أثناء أو بعد‬
‫حاالت الطوارئ المختلفة‪ ،‬إذ يجب إعدادها على نحو خاص‪ ،‬بحيث تشتمل على المعلومات الخاصة بالمؤسسة‬
‫وعملياتها‪.‬‬
‫تتض َّمن أنشطة االستجابة للحوادث‪ ،‬إعداد وتجهيز فرق المؤسسة وخططها‪ ،‬لتقييم تأثير الحادث وإدارته‬
‫واالستجابة له والتعافي من األحداث التي تع ّرض صحة موظفيها وسالمتهم للخطر‪ ،‬والتي تؤ ِّدي إلى تعطل‬
‫خطير في أنشطتها أو مهامها الحرجة التي تتَّسم باألهمية القصوى‪.‬‬
‫تشتمل هذه التوقفات واألعطال على فقدان مقر العمل الرئيس‪ ،‬وعدم القدرة على أداء المهام غير الضرورية ‪/‬‬
‫األساسية و‪ /‬أو فقدان البنية التحتية الهامة الالزمة ألداء تلك المهام وتنفيذها‪.‬‬
‫تشتمل األنشطة في هذه المرحلة على تنفيذ تقييم الحوادث وإدارتها وإجراءات التخطيط للحوادث‪ ،‬وتعبئة‬
‫المجموعات‪ ،‬ونشر الموارد من أجل االستجابة لألحداث التي تس ِّبب أو التي يُحتمل أن تسبِّب ضررا ً فوريّاً أو‬
‫كبيرا ً بموظفي المؤسسة ومرافقها وعملياتها‪ ،‬والمجتمعات التي تعمل المؤسسة فيها‪.‬‬
‫يتولَّى كل عضو من فريق إدارة الحوادث مسؤولية تنفيذ المهام واألنشطة التالية‪:‬‬

‫قبل الحادث‬
‫االطالع بشكل شامل على إجراءات إدارة الحوادث‪ ،‬وتخطيط إجراءات الحوادث‪ ،‬من أجل التمكُّن من تحقيق‬
‫أهداف هذه الخطة‪.‬‬

‫أثناء الحادث‬
‫ •اشتراط تأمين سالمة وصحة موظفي المؤسسة الذين يستجيبون للحادث أو الذين يتأثرون به‪ ،‬ب َمن‬
‫فيهم ذوي االحتياجات الخاصة‪.‬‬
‫ •تحديد استراتيجيات اإلجراءات وخططها الستجابة المؤسسة للحادث والتعافي واالستفاقة منه‪.‬‬
‫ •ضمان استمرارية األنشطة والخدمات الحرجة من قبل الموظفين المتواجدين‪ ،‬أو من قبل الموظفين‬
‫الذين ت َّم استدعاؤهم حسب الضرورة‪.‬‬
‫ •قيادة الفرق في تنفيذ المهام المكلفين بها في خطط عمل الحوادث الخاصة بالمؤسسة‪.‬‬
‫ •بدء االتصال مع فريق إدارة الحوادث‪ ،‬وإنشاء مركز عمليات لقيادة الحادث في المؤسسة‪.‬‬
‫ •تفعيل وتشغيل مناطق العمل البديلة والمواقع البديلة الستئناف العمل بعد الكوارث‬
‫ •حسب الضرورة‪.‬‬
‫ •توفير وسائل نقل الموظفين والمعدات والبيانات واإلمدادات إلى مناطق العمل البديلة والمواقع‬
‫البديلة‪ ،‬الستئناف العمل بعد الكوارث‪ ،‬حسب الضرورة‪ ،‬وضرورة تعريف تلك الوسائل‪ ،‬سواء مملوكة‬
‫للمؤسسة أو متعاقدة‪.‬‬

‫‪97‬‬
‫ •تنسيق االنتقال واإلقامة (إن اقتضت الضرورة) في مواقع العمل البديلة أو المواقع البديلة الستئناف‬
‫العمل بعد الكوارث‪.‬‬
‫ •المساعدة في تحديد وتعقّب المصروفات والخسائر المتعلقة بالحوادث‪ ،‬وكذلك األنشطة المطلوبة‬
‫لالستجابة والمعالجة من الحوادث‪.‬‬
‫ •ترتيب المصروفات وسداد الفواتير وإيجاد آلية للصرف بدون التعقيدات اإلدارية أو الروتينية‪.‬‬

‫بعد الحادث‬
‫استخالص المعلومات بعد الحادث ورفع تقرير عن الحادث‪ ،‬ويشمل ما يلي‪:‬‬
‫ •تقييم األداء اإلجمالي للفرق أثناء االستجابة للحادث‪.‬‬
‫ •تقييم الفعالية الكلية لخطط إدارة الحوادث واستمرارية األعمال‪.‬‬
‫ •تقييم الفعالية الكلية لفرق إدارة األحداث واستمرارية األعمال في إنجاز أهداف المؤسسة الخاصة‬
‫باالستجابة للطوارئ‪.‬‬
‫ •مراجعة نتائج استخالص المعلومات وتقرير ما بعد الحادث وتعليقات الفرق المشاركة في إدارة‬
‫الحوادث واالستجابة لها ومعالجتها والتعافي منها‪.‬‬
‫ •إصدار التوصيات بمعالجة أية مشاكل ظهرت في أ ّي من المراحل المذكورة أعاله‪ ،‬والحلول المقترحة‬
‫والدروس المستفادة‪.‬‬

‫اإلنذار واإلشعار‬
‫تحتوي عملية اإلنذار واإلشعار على أربع خطوات‪:‬‬
‫ •االتصال بالفريق الرئيس المعني بإدارة الحوادث‪.‬‬
‫ •تقييم نوع الحدث وتأثيره لتحديد ما إذا كان يتعين تفعيل فريق (مجموعة) دعم إدارة الحوادث أو ال‪.‬‬
‫ويشتمل هذا على النظر في نوع الحدث ومقياسه‪ ،‬وتقييم األثر الحالي وال ُمحتمل على ح ٍّد سواء‪.‬‬
‫إذا لم يتطلَّب الحدث تفعيل فرق الدعم المعنية بإدارة الحوادث‪ ،‬وتكليف الموظفين بمراقبة الحدث‬
‫أو الموقف والتواصل مع الموظفين‪ ،‬حسب الضرورة‪.‬‬
‫إذا لم يتطلَّب الحدث تفعيل فرق الدعم المعنية بإدارة الحوادث‪ ،‬بحسب ما تقتضيه الحاجة لالستجابة‬
‫للحدث ومعالجته‪.‬‬
‫ •تفعيل االستجابة للطوارئ والتقييم األ ّولي وإعداد فريق إدارة الحوادث‪.‬‬
‫ •بمجرد إعداد فريق إدارة الحوادث‪ ،‬يتع َّين عليه القيام بما يلي‪:‬‬

‫‪98‬‬
 ‫الجزء الثالث‪ :‬نماذج إدارة استمرارية األعمال‬

‫فريق إدارة الحوادث – قامئة املهام األولية‬

‫إبالغ الرشطة ‪ /‬طوارئ الحرائق‪ ،‬إن لزم األمر ( إن مل يكن ذلك اإلجراء األول يف موقع الحادث‬ ‫‪1‬‬
‫تم بالفعل)‪.‬‬

‫املستجيبون األوائل‬ ‫تنفيذ عمليات اإلخالء حسب الرضورة‪.‬‬ ‫‪2‬‬

‫املستجيبون األوائل‬ ‫إخطار فريق تقييم الحوادث‪.‬‬ ‫‪3‬‬

‫فريق إدارة الحوادث‬ ‫االتصال باملرافق لفصل التيار الكهريب والغاز‪ ،‬إن لزم األمر‪.‬‬ ‫‪4‬‬

‫فريق إدارة الحوادث وقادة املنطقة‬ ‫إحصاء جميع املوظفني والزوار‪.‬‬ ‫‪5‬‬

‫املستجيبون األوائل‬ ‫تحديد املصابني والوفيات‪ ،‬حسبام تقتضيه األحوال‪.‬‬ ‫‪6‬‬

‫فريق إدارة الحوادث وقادة املنطقة‬ ‫تأمني املكان‪.‬‬ ‫‪7‬‬

‫فريق إدارة الحوادث ‪ /‬الخدمات‬ ‫تحديد نطاق األرضار التي لحقت باملباين ومناطق العمل‬ ‫‪8‬‬
‫العامة ‪ /‬تكنولوجيا املعلومات‬ ‫وأنظمة تكنولوجيا املعلومات واالتصاالت‪.‬‬
‫واالتصاالت‬

‫فرق الدعم وإدارة الحوادث‬ ‫تحديد تأثري الحدث عىل القدرة عىل تنفيذ األنشطة الحرجة‬ ‫‪9‬‬
‫وخدمات الدعم‪.‬‬

‫فرق الدعم وإدارة الحوادث‬ ‫تفعيل مركز قيادة فريق إدارة الحوادث بحسب الحاجة‪.‬‬ ‫‪10‬‬

‫فريق إدارة الحوادث‬ ‫تفعيل مواقع العمل البديلة‪ ،‬بحسب الحاجة‪.‬‬ ‫‪11‬‬

‫فريق إدارة الحوادث ‪ /‬االتصاالت‬ ‫تحديد الجهات املعنية‪ .‬تحديد إسرتاتيجية االتصاالت وإرسال‬ ‫‪12‬‬
‫الرسائل واملعلومات التي تقتضيها الجهات املعنية الداخلية‬
‫والخارجية‪.‬‬

‫‪99‬‬
‫تشتمل عملية االستجابة للطوارئ وتقييم األثر‪ ،‬على االستعانة بالفريق الرئيس إلدارة الحوادث‪ ،‬لتحديد تأثير‬
‫الحادث على‪:‬‬
‫ •صحة الموظفين وسالمتهم‪.‬‬
‫ •المباني والمرافق وأماكن العمل‪.‬‬
‫ •البنية التحتية الالزمة لدعم األنشطة الحرجة (مثل تكنولوجيا المعلومات واالتصاالت والكهرباء والمياه والغاز)‪.‬‬
‫ •القدرة على إجراء األعمال العادية واألنشطة الحرجة‪.‬‬
‫ •القدرة على التواصل مع الجهات المعنية الداخلية والخارجية‪.‬‬

‫االتصال بشأن الحوادث‬

‫إذا لم ت ُق ْم المؤسسة بتدوين إجراءات االتصاالت الخاصة بها في خطة أخرى‪ ،‬يجب تدوينها هنا‪.‬‬
‫ويتعيَّن أن تح ِّدد خطة االتصاالت‪ ،‬األمور التالية‪:‬‬
‫ •فئات عمليات الطوارئ‪.‬‬
‫ •الجماهير وأنواع المعلومات والرسائل المطلوبة‪.‬‬
‫ •األدوار والمسؤوليات الالزمة إلنشاء الرسائل وتسليمها‪.‬‬
‫ •مسؤول االتصاالت‪.‬‬
‫ •فريق االتصاالت‪.‬‬
‫ •االتصاالت والرسائل الالزمة لثالثة سيناريوهات على األقل‪.‬‬
‫ •عمليات الطوارئ – قدرة ضعيفة على أداء المهام واألنشطة الضرورية ‪ /‬األساسية في موقع واحد أو أكثر‪.‬‬
‫ •العمليات المعلّقة – توقف القدرة على أداء المهام واألنشطة الضرورية ‪ /‬األساسية في جميع األماكن‪.‬‬
‫ •العودة إلى التشغيل العادي – القدرة على استئناف أداء المهام واألنشطة الضرورية ‪ /‬األساسية في‬
‫جميع األماكن‪.‬‬

‫االستمرارية‬
‫المهام الضرورية ‪ /‬األساسية ‪ /‬قوائم مهام استمرارية األعمال‪.‬‬

‫يح ِّدد هذا القسم من الخطة‪ ،‬األنشطة الحرجة الخاصة بالمؤسسة واإلجراءات ال ُمتخذة للحفاظ على االستمرارية‪.‬‬
‫يتعيَّن على كل إدارة وضع قائمة مهام‪ ،‬الستمرارية األعمال ألنشطتها الحرجة‪.‬‬
‫كما يتع َّين أيضاً االستعانة بتحليل التأثير على األعمال‪ ،‬لتحديد األنشطة الحرجة‪.‬‬
‫وتُمكن االستعانة بالجدول اآلتي‪ ،‬لوضع قوائم فحص لمهام استمرارية األعمال‪.‬‬
‫كما ينبغي إنشاء الجدول في هذا القسم‪ ،‬بنا ًء على فكرة الحفاظ على استمرارية األعمال في سيناريو «أسوأ»‬
‫االفتراضات‪ .‬ويُمكن بعد ذلك تعديله ليتناسب مع األعطال األقل ح َّدة لعمليات المؤسسة‪.‬‬

‫‪100‬‬
 ‫الجزء الثالث‪ :‬نماذج إدارة استمرارية األعمال‬

‫قائمة مهام استمرارية األعمال‬

‫ما تم إنجازه‬ ‫املسؤولية‬ ‫متطلبات التايف متطلبات املوارد اإلطار الزمني‬ ‫املهام ‪/‬األنشطة‬
‫الرضورية ‪/‬‬
‫األساسية‬

‫التعافي‬
‫التعافي هو العودة إلى ممارسة األعمال بشكل طبيعي‪.‬‬
‫ينبغي إكمال الجدول الوارد في هذه الخطة بنا ًء على فكرة دعم التعافي في سيناريو «أسوأ» االفتراضات‪.‬‬
‫ويمكن بعد ذلك تعديله ليتناسب مع درجة التعطل الذي يلحق بعمليات المؤسسة‪.‬‬
‫تشتمل عملية االسترداد على ما يلي‪:‬‬

‫‪101‬‬
 ‫تحديد الموارد المطلوبة الستعادة تلك األنشطة‪.‬‬
‫ذكر األشخاص الذين لديهم مسؤولية عن كل مهمة‪ ،‬والتاريخ ال ُمتوقَّع لإلتمام‪.‬‬
‫تُمكن االستعانة بالجدول اآلتي‪ ،‬لوضع قوائم مهام إجراءات االسترداد‪.‬‬

‫قائمة مهام إجراءات التعافي‬

‫ما تم إنجازه‬ ‫املسؤولية‬ ‫اإلطار الزمني‬ ‫متطلبات املوارد‬ ‫متطلبات التايف‬ ‫املهام ‪/‬األنشطة‬
‫الرضورية ‪/‬‬
‫األساسية‬

‫التدريب على التخطيط والتحديث‬

‫التدريب‬
‫من المهم بمكان‪ ،‬تلقّي التدريبات الالزمة على خطة ما‪ ،‬لضمان استمرار لياقتها ونفعها‪ .‬يُمكن أن يتم هذا‬
‫التدريب في صورة تمرين عملي‪ ،‬أو عن طريق نموذج محاكاة‪.‬‬

‫‪102‬‬
 ‫الجزء الثالث‪ :‬نماذج إدارة استمرارية األعمال‬

‫كما أنه يُعطي الموظفين أيضاً الذين ينفّذون الخطة‪ ،‬فرصة لكي يصبحوا مل ّمين بها‪ ،‬وبأدوارهم ومسؤولياتهم‬
‫في تنفيذها‪ .‬ويُعتبر هذا اإللمام ها ّماً للتنفيذ الناجح للخطة‪ .‬ومن أجل تحقيق هذه الغاية‪ ،‬يتع َّين أن تشتمل‬
‫الخطة على برنامج تدريبي لجميع الموظفين المشاركين في حالة الطوارئ في الموقع‪ ،‬ويشمل ذلك ذوي‬
‫االحتياجات الخاصة‪ .‬كما يتع َّين أن يذكر الجدول أعضاء الفريق باللقب والدور في الفريق (وليس مجرد االسم)‪.‬‬

‫التحديث‬
‫من المهم أيضاً مراجعة الخطة وتحديثها بصورة دورية‪ ،‬لضمان التحقق من مواكبة الخطة للتغيرات التي‬
‫تحدث داخل الهيكل التنظيمي للمؤسسة‪ ،‬وعملياتها وموظفيها ومو ِّرديها ومتعاقديها ومقاوليها‪.‬‬
‫إضافة إلى ذلك‪ ،‬وبعد التدريب أو التفعيل‪ ،‬تحتاج الخطة إلى المراجعة والتحديث من قبل الفرق‪ ،‬لكي تشتمل‬
‫على المعلومات التي استنتجتها عن مدى فائدة الخطة وفعاليتها في تحقيق أهداف المؤسسة‪.‬‬
‫ويمكن تدوين تفاصيل مراجعة الخطة وتحديثها في جدول مثل الجدول الموضح أدناه‪.‬‬

‫التغيريات التي متت‬ ‫سبب املراجعة‬ ‫تاريخ املراجعة‬

‫‪103‬‬
 ‫الملحق أ ‪ -‬جهات االتصال األساسية‬

‫قائمة االتصال ‪ -‬الداخلية‬

‫استعن بهذا الجدول إلدراج تفاصيل جهة االتصال الخاصة بالطوارئ‪ ،‬بالنسبة ألعضاء فريق‪/‬فرق إدارة الحوادث‬
‫واستمرارية األعمال‪.‬‬

‫املسؤوليات‬ ‫الربيد اإللكرتوين‬ ‫رقم‪/‬أرقام االتصال‬ ‫الشخص‬

‫‪104‬‬
 ‫الجزء الثالث‪ :‬نماذج إدارة استمرارية األعمال‬

‫قائمة االتصال ‪ -‬الخارجية‬

‫استعن بهذا الجدول لكتابة بيانات جهات االتصال الخارجية (شاملة خدمات الطوارئ)‬
‫رقم‪/‬أرقام االتصال‬ ‫جهات االتصال األساسية‬

‫اإلسعاف‬
‫املستشفى‬
‫الخدمات الطبية‬
‫الحرائق‬
‫الرشطة‬
‫الكهرباء‬
‫خدمات الطوارئ‬
‫الغاز‬
‫رشكة التأمني‬
‫الرشطة‬
‫األمن‬
‫الرصف الصحي‬
‫املوردون‬
‫رشكة االتصاالت‬
‫التخلص من القاممة‬
‫املياه‬

‫الملحق ب ‪( -‬المعرف أيضاً باسم «صندوق الطوارئ»)‬

‫في الحاالت التي يتع َّرض فيها الموقع الرئيس للضَّ رر‪ ،‬أو أنه يجب إخالؤه ويتع َّين على المؤسسة نقل عملياتها‬
‫إلى موقع بديل‪ ،‬يتع َّين إعداد «‪ »Go Pack‬أو صندوق الطوارئ‪ ،‬لكل مجموعة من مجموعات العمل‪ ،‬لضمان‬
‫إمكانية قيامها بتأدية أنشطتها الهامة‪.‬‬
‫يتع َّين حفظ صندوق الطوارئ في المواقع‪ ،‬بحيث يُمكن التقاطه بسرعة أو تخزينه في مكان أكثر أمناً من‬
‫الموقع الرئيس‪.‬‬

‫‪105‬‬
 ‫مالحظة‪:‬‬
‫ •التحقّق من تخزين صندوق الطوارئ بأمان‪ ،‬داخل الموقع وخارجه (في مكان آخر)‪.‬‬
‫ •التحقّق من إجراء الفحص الدوري على األشياء الموجودة في الحزمة‪ ،‬باإلضافة إلى تحديثها والمحافظة‬
‫عليها في حالة عمل جيدة‪.‬‬
‫ •تذكر أن البطاقات النقدية ‪ /‬االئتمانية قد تكون مطلوبة لمصروفات الطوارئ‪.‬‬
‫ •العناصر التي يتع َّين وضعها في صندوق الطوارئ مدرجة أدناه‪ .‬يتع َّين تعديل القائمة بما يتناسب مع‬
‫المؤسسة واحتياجاتها‪.‬‬

‫الوثائق‬
‫ •وضع خطة للموقع‪ ،‬شاملة مواضع إغالق الغاز وقطع التيار الكهربائي والمياه (يفضل أن تكون محمية)‪.‬‬
‫ •خطة استمرارية األعمال‪.‬‬
‫ •بيانات االتصال الخاصة بخدمات الطوارئ والسلطات المحلية‪.‬‬
‫ •بيانات االتصال الخاصة بالموظفين – بما في ذلك أرقام الهواتف المنزلية والهواتف المتح ّركة وعناوين‬
‫البريد اإللكتروني‪ .‬يُستحسن أيضاً إدراج بيانات االتصال الخاصة باألقارب لجميع الموظفين‪.‬‬
‫ •بيانات االتصال الخاصة بالعمالء والمو ِّردين األساسيين‪.‬‬
‫ •بيانات االتصال الخاصة بشركات المرافق‪.‬‬
‫ •بيانات االتصال والتفاصيل الخاصة بالتغطية التأمينية‪.‬‬
‫ •المخطَّطات والرسومات الهندسية‪.‬‬
‫ •خطة اإلخالء‪.‬‬
‫ •البيانات المالية والمصرفية‪.‬‬
‫ •المناهج واألسرار التجارية‪.‬‬
‫ •الجرد األخير لإلمدادات والمخزون والمعدات ( يحدث باستمرار )‪.‬‬
‫ •قوائم المنتجات والمواصفات‪.‬‬
‫ •األوراق المر ّوسة وأختام الشركة ووثائقها ومستنداتها‪.‬‬

‫المعدات‬
‫ •األدوات االحتياطية للكمبيوتر واألقراص وذاكرة ‪ USB‬والفالشات‬
‫ •الكاميرات التقليدية أحادية االستعمال (لتسجيل الدليل في مطالبة تأمينية)‪.‬‬
‫ •أقنعة ضد التراب واألدخنة السامة‪.‬‬
‫ •أدوات مكتبية عامة (أقالم وورق وغير ذلك)‪.‬‬
‫ •شريط لوضعه حول األماكن الخطرة والمناطق المحاطة‪.‬‬

‫‪106‬‬
 ‫الجزء الثالث‪ :‬نماذج إدارة استمرارية األعمال‬

‫•أبواق مكبرة للصوت (تبقى البطاريات مغلقة بإحكام حتى يتم استخدامها)‬ ‫ ‬
‫•أقالم تحديد (لإلشارات المؤقتة)‪.‬‬ ‫ ‬
‫مخصصة للرسائل واأللواح الورقية القالبة‪.‬‬‫•أوراق َّ‬ ‫ ‬
‫•هاتف محمول مع توافر رصيد مالي به باإلضافة إلى شاحن كهرباء‪.‬‬ ‫ ‬
‫•راديو (تبقى البطاريات مغلقة بإحكام حتى يتم استخدامها) – يُفضل راديو يعمل بحركة اإلنسان‬ ‫ ‬
‫«‪.»Windup Radio‬‬
‫•مجموعة أدوات صغيرة (في ح ٍّد أدنى مجموعة المطرقات ومفاتيح الربط والمفكات ومجموعة مفاتيح البراغي)‬ ‫ ‬
‫•مفاتيح احتياطية ‪ /‬أكواد أمنية‪.‬‬ ‫ ‬
‫•كشاف – يُفضل النوع الذي يعمل بحركة اإلنسان‪.‬‬ ‫ ‬
‫•مس ِّجل صوت‪.‬‬ ‫ ‬

‫مالحظة‪ :‬يتم تدوير المواد القابلة للتلف مثل البطاريات واألفالم وغيرها‪.‬‬

‫اإلمدادات‬
‫ •بطاريات لمحتويات صندوق الطوارئ (مجموعات)‪.‬‬
‫ •قبعات صلبة (الخوذات) ‪.‬‬
‫ •لفافات من شريط المخاطر‪.‬‬
‫ •قفازات سميكة (أزواج)‪.‬‬

‫الملحق ج ‪ -‬نموذج من التقارير والنماذج‬

‫ال ب ّد من توافر عدد من النماذج والتقارير وكتيبات اإلرشادات لدى فرق إدارة الحوادث واستمرارية األعمال في‬
‫المؤسسة‪ .‬وتشتمل هذه النماذج والتقارير على ما يلي‪:‬‬
‫ •إرشادات وتعليمات حول كيفية تسجيل الرسائل وتحديثها‪ ،‬باستخدام نظام البريد الصوتي التابع‬
‫للمؤسسة‪.‬‬
‫ •نماذج نصوص الرسائل إلخطارات الحوادث‪.‬‬
‫ •نماذج نصوص الرسائل إلعالن النقل إلى موقع عمل جديد (على سبيل المثال‪ ،‬اإلخطار المرسل إلى‬
‫الجهات المعنية الداخلية والخارجية)‪.‬‬
‫ •تقرير عن تلف المعدات‪.‬‬
‫ •تقرير عن تلف المرفق‪.‬‬
‫ •تقرير المصروفات‪.‬‬
‫ •نموذج تعقُّب المشاكل (لموقع عمل بديل)‪.‬‬

‫‪107‬‬
 ‫ •تقرير حالة نهاية اليوم لتقديمه لإلدارة العليا‪.‬‬
‫ •اإلصالح ‪ /‬الترميم في الموقع الرئيس‪.‬‬
‫ •استمرارية األنشطة ‪ /‬األعمال الحرجة في موقع العمل البديل‪.‬‬
‫ •تقرير الحادث‪.‬‬
‫ •تاريخ‪ /‬وقت الحدث‪.‬‬
‫ •موضع التأثير على األعمال‪.‬‬
‫ •وصف الحدث‪.‬‬
‫ •قائمة المباني والمرافق ومناطق العمل المتأثرة بالحدث‪.‬‬
‫ •وصف تأثير الحدث على األعمال واألنشطة الحرجة‪.‬‬
‫ •الوضع الراهن‪.‬‬
‫سجل الحدث‪.‬‬
‫ • ّ‬
‫(سجل الحدث)‪.‬‬
‫ّ‬ ‫ •نموذج‬
‫تُمكن االستعانة بهذا النموذج لتسجيل المعلومات والقرارات واإلجراءات ال ُمتخذة في الفترة التي تتبع الحادث‬
‫مباشرة‪ ،‬وفي األيام التي تليه‪ ،‬حتى تتوقف فرق إدارة الحوادث واستمرارية األعمال عن العمل‪.‬‬

‫التوقيع باألحرف األوىل‬ ‫املعلومات ‪ /‬القرارات ‪/‬‬ ‫الوقت‬ ‫التاريخ‬

‫اإلجراءات‬

‫‪108‬‬
 ‫الجزء الثالث‪ :‬نماذج إدارة استمرارية األعمال‬

‫الملحق د ‪ -‬المراجع والوثائق ذات الصلة‬

‫يشتمل هذا القسم على الوثائق التي تحتوي على المعلومات اإلضافية الالزمة لتنفيذ هذه الخطة‪.‬‬

‫عنوان الوثيقة‬

‫أماكن ومعلومات منطقة العمل البديلة‬

‫ •مقر مركز قيادة إدارة الحوادث‪ ،‬باإلضافة إلى بيانات االتصال وقائمة ال ُمع ّدات ال ُمتاحة‪ .‬هناك أماكن‬
‫مواقع العمل األساسية ‪ /‬أماكن الطوارئ البديلة ‪ /‬مناطق التج ّمع‪ ،‬باإلضافة إلى إجراءات إخالء المباني‬
‫وإحصاء الموظفين‪.‬‬
‫ •أماكن مواقع العمل البديلة لجميع اإلدارات‪ ،‬باإلضافة إلى أرقام الهواتف والخرائط لكل مكان‬
‫بطاقة المحفظة‬
‫ •رقم الخط الساخن للطوارئ‪.‬‬
‫ •مكان منطقة التج ّمع في حاالت الطوارئ‪.‬‬
‫ •مقر مركز القيادة ورقم الهاتف‪.‬‬
‫ •مقر العمل البديل ورقم الهاتف‪.‬‬
‫ •بيانات جهات االتصال الرئيسة‪.‬‬
‫قوائم جهات االتصال المتوافرة على مدار الساعة‬
‫ •خدمات الطوارئ الداخلية والخارجية‪.‬‬
‫ •الموظفون الرئيسيون‪.‬‬
‫ •شجرة اتصال الموظفين‪.‬‬
‫ •العمالء‪.‬‬
‫ •قادة فريق إدارة الحوادث واستمرارية األعمال (األساسيين ‪/‬البدالء)‪.‬‬
‫ •أعضاء فريق إدارة الحوادث واستمرارية األعمال‪.‬‬
‫ •األطراف الثالثة (الغير) الذين يقدمون خدمات معالجة الكوارث والتعافي منها‪.‬‬
‫أرقام االتصال‬
‫ •العمل‪.‬‬
‫ •رقم الهاتف‪.‬‬
‫ •رقم هاتف بديل‪.‬‬
‫ •رقم فاكس‪.‬‬
‫ •المنزل‪.‬‬
‫ •الهاتف المتحرك‪.‬‬

‫‪109‬‬
 ‫الملحق هـ ‪ -‬مسرد المصطلحات‬

‫التعريف‬ ‫املصطلح‬
‫وهي عبارة عن مجموعة من اإلجراءات واملعلومات‬ ‫خطة استمرارية األعامل‬
‫املد ّونة التي يتم تطويرها وتجميعها وحفظها لتمكني‬
‫املؤسسة من مواصلة أنشطتها الهامة والحرجة عىل‬
‫مستوى مقبول محدد مسبقاً يف حالة توقف األعامل أو‬
‫تعطلها‪.‬‬
‫تحليل التأثري عىل األعامل عملية تحليل مهام األعامل ومعرفة التأثري الذي قد‬
‫يسببه تعطل األعامل عليها من حيث التأثري عىل‬
‫القيمة واألولويات‪ .‬فهذا التحليل يوضح البنية التحتية‬
‫الالزمة لدعم أنشطة األعامل الحرجة والهامة الخاصة‬
‫باملؤسسة‪.‬‬
‫أنشطة األعامل الرضورية ‪ /‬األنشطة الالزمة لتوفري املنتجات األساسية وتأدية املهام‬
‫والخدمات الالزمة إلنجاز واجباتها القانونية وااللتزامات‬ ‫األساسية‬
‫التنظيمية والتعاقدية؛ والوفاء بتوقعات الجهات املعنية‬
‫الرئيسية وحامية سمعتها‬
‫الوقت املستهدف إلعادة املنتج أو الخدمة أو النشاط‬ ‫زمن االستعادة األمثل‬
‫بعد وقوع حادث ما‬
‫األصول واملوظفون واملهارات واملعلومات والتكنولوجيا‬ ‫املوارد‬
‫(شاملة األجهزة واملعدات) واملباين واملوردون‬
‫واملعلومات (سواء كانت إلكرتونية أم ال) والتي يتعني‬
‫عىل املؤسسة أن تكون متوافرة لدى الهيئة الستخدامها‪،‬‬
‫عند الحاجة‪ ،‬من أجل التشغيل وتلبية أهدافها‪.‬‬
‫التطوير الهيكيل وتطبيق ثقافة اإلدارة والسياسة‬ ‫إدارة املخاطر‬
‫واإلجراءات واملامرسات الخاصة مبهام تحديد املخاطر‬
‫وتحليلها وتقييمها ورقابتها واالستجابة لها‪.‬‬
‫‪110‬‬