В сегодняшней статье мы:

• поговорим об очень важном элементе управления рисками и компанией в целом – управлении непрерывностью бизнеса или BСM (Business continuity management): что это такое, какие ключевые компоненты и этапы построения систем BCM;
• и попробуем ответить на частый вопрос: «как поступать разумнее: реагировать на фактический риск, особенно если он относится к категории «черных лебедей», или заблаговременно готовиться к событиям, о которых сегодня может быть ничего неизвестно».

BCM – это часть большого семейства практик устойчивого развития компаний, которая подразумевает, что для того, чтобы компания существовала устойчиво в долгосрочной перспективе, она должна уметь справляться с непредвиденными и критическими для бизнеса ситуациями, реагировать на них таким образом, чтобы сохранять свою жизнеспособность и требуемый уровень эффективности. В контексте данной статьи чрезвычайная ситуация – это крайне редкое событие с уровнем воздействия, выходящим за пределы диапазона нормальных возможностей организации, некое усложненное условие деятельности, которое является для бизнес-системы трудным и опасным (объективно материально или субъективно информационно). Такие ситуации, как правило, ведут к появлению рассогласованности внутри и вне организации и их последствиями часто бывает «бизнес-ступор».

К чрезвычайным ситуациям можно отнести:

1. Техногенные и природные катастрофы, которых за последнее столетие было достаточно много, включая атомную, химическую, нефтяную отрасли, а также неоднократные землетрясения, цунами, извержения вулканов, ураганы и т.п. И поскольку такие  катастрофы  являются действительно масштабными и критическими по своим последствиям, вопросы управления соответствующими технологическими и HSE рисками достаточно очевидны и проработаны, потому что большинство регуляторов мира и опасных отраслей требуют наличия технических оперативных планов по реагированию на них.
2. Боевые действия и террористические акты, существовавшие на протяжении всей истории человечества, стали рассматриваться как проблемы для возможного прерывания бизнеса в недавнее время, особенно для глобальных бизнесов и сложных межгосударственных и межрыночных логистических цепочек.
3. Резкие общественно-политические и экономические изменения: смены режимов, санкционные ограничения не только для компаний – но для целых стран. Безусловно, влияние такие событий с большой вероятностью может стать катастрофическим для многих бизнесов и проектов.
4. Эпидемии. В этом столетии мир не впервые столкнулся с катастрофической эпидемией, но впервые она стала настолько глобальной и своими последствиями повлияла на мировой бизнес-ландшафт.
5. Разумно отнести к чрезвычайным ситуациям для многих современных бизнесов и информационно-репутационные события и тренды, приводящие к «культуре отмены» не только конкретных игроков – но целых рынков.

Перечисленные выше ситуации происходили неоднократно в новейшей истории, уже не являются «черными лебедями» (на момент написания статьи многие рынки находятся под двойной чрезвычайной нагрузкой, связанной как с последствиями мировой эпидемии – так и санкций, влияющих на бизнес-ландшафт целых регионов и отраслей) и с достаточной вероятностью будут повторяться снова – а значит, представляют для риск-менеджеров всего мира вполне конкретные вызовы, требующие разработки комплекса мероприятий по обеспечению непрерывности бизнеса соответствующих компаний и рынков. За вторую половину XX-ого века в разных отраслях и регионах было накоплено достаточно опыта и разработано документов, которые так или иначе требуют или рекомендуют компаниям иметь некий процесс, который давал бы их владельцам, сотрудникам, обществу уверенность в том, что если произойдет чрезвычайное событие, компания выстоит, и ущерб, который будет нанесен окружающей среде и вовлеченным сообществам, будет минимален. Ключевые рекомендации касательно ВСМ отражены в соответствующих стандартах ISO, которые описывают требования к безопасности и отказоустойчивости. Но помимо рекомендательных и высокоуровневых стандартов целесообразно обращаться и к национальным требованиям для различных отраслей, поскольку многие регуляторы, в частности, в финансовом и телекоммуникационном секторе, имеют собственные, более детальные требования по тем или иным специфическим вопросам.

По своей сути BCM — это целостный процесс управления, который выявляет потенциальные угрозы для организации и последствия для бизнес-операций, которые, при реализации, эти угрозы могут вызывать. Это – основа для создания организационной устойчивости и развития с возможностью эффективного реагирования для защиты интересов всех вовлеченных сторон. Цель управления непрерывностью бизнеса состоит в том, чтобы позволить руководству сохранить и продолжать бизнес-процессы в неблагоприятных условиях путем внедрения соответствующих стратегий, программ, нормативов, целых процессов и т.д.. Любое масштабное происшествие из ранее названных категорий может привести к серьезному нарушению деятельности организации, ее способности предоставлять услуги, выпускать свои продукты. Предотвратить катастрофы невозможно – но выявить возможные источники угроз (факторы риска), максимально оперативно отреагировать и быстро восстановиться при тщательно разработанном плане ВСМ  – достаточно вероятно при должной подготовке. Поэтому помимо ранее упомянутых требований к внедрению программ обеспечения непрерывности бизнеса, актуальная практика рынка также диктует свои правила: наличие разумных и надежных планов ВСМ является часто не только желательным – но необходимым условием для получения значительных инвестиций, займов и заключения партнерств. Кроме того, наличие подобных программ позволяет усилить свою уверенность в том, что репутация компании будет защищена, а бренд и стоимость бизнеса будет выше, чем при отсутствии соответствующих шагов.

Общая цель плана ВСМ – обеспечить последовательное, своевременное восстановление организации и ее ключевых бизнес-процессов, после реализации того или иного риска. Соответственно, для разработки такого плана необходимо тщательно проанализировать бизнес компании, определить возможные риски и уязвимости, ключевые бизнес-процессы и роли, разработать курс действий по реагированию на возможные чрезвычайные события, обозначить ключевую команду бизнес-ролей, которые должны быть вовлечены в реагирование и восстановление. Необходимо также проработать возможные источники внешней поддержки: финансовой, медийной, репутационной, технологической, регуляторной и пр. и провести сценарный анализ, т.е. разработку альтернативных стратегий для обеспечения устойчивости компании. Очевидно, что качественный план по обеспечению непрерывности подразумевает глубокое понимание бизнеса, технологий, процессов, рыночного контекста и стейкхолдеров организации, а также оценку очень широкого спектра рисков, включая финансовые, рыночные, операционные, информационные, юридические и пр.

Традиционно, комплекс планов по обеспечению непрерывности бизнеса должен включать технологические, финансовые, информационно-репутационное направления, а также целый ряд специфических для конкретной структуры и отрасли блоков (например, логистика, работа с населением и пр), однако стоит помнить о том, что даже разработанные планы должны не просто постоянно актуализироваться синхронно с изменениями внутри и вокруг конкретной компании  – но подлежать постоянному тестированию и тренировкам, что, при условии внедрения соответствующего информационного и ролевого поля внутри организации, должно привести к созданию и внедрению культуры непрерывности бизнеса как части культуры управления рисками и менеджмента вообще. Чем более простыми, понятными и подробными будут разработанные планы и процедуры и чем более осведомленным и тренированным будет персонал– тем больше вероятность быстро восстановиться и понести наименьшие возможные потери при возникновении чрезвычайной ситуации. Стоит обратить внимание, что одним из ключевых элементов обеспечения как долгосрочной устойчивости – так и непрерывности и отказоустойчивости практически любой современной крупной организации является управление взаимодействием с заинтересованными сторонами, включая как технологические так и информационные потоки, поскольку сегодняшний бизнес зачастую глобален и тесно включен в единую сеть взаимосвязей с другими субъектами рынка. Более того, некоторые регуляторы требуют, чтобы планы BCM были согласованы с соответствующими планами ключевых партнёров. Но даже без соответствующих требований как по взаимодействию – так и по выстраиванию системы непрерывности, такие инициативы дают компании возможность повышать собственную эффективность, улучшая и упрощая бизнес-процессы, расширяя информированность внутри и снаружи и выстраивая культуру эффективного и ответственного управления.

Подводя итоги, можно сказать, что ответ на вопрос «что разумнее: реагировать на конкретную ситуацию или последовательно выстраивать работу с рисками» достаточно очевиден: внешние катастрофические риски по своей природе слабоуправляемы, однако лучшее знание своего бизнеса, построение устойчивых бизнес-процессов и связей, безусловно, создаст предпосылки для повышения эффективности даже в обычном режиме деятельности, ну, а в случае, если после наступления чрезвычайного происшествия команда топ-менеджеров справится с последствиями быстро и эффективно, то реализованный риск может стать возможностью повышения стоимости бренда и компании на рынке, доверия к ней и ее репутации.

Ирина Андропова (с)