Вторник, 2018-Декабрь-18, 21:17
| RSS
Главная » Статьи » Мои статьи

Управление рисками: обеспечение непрерывности бизнеса (Дело каждого)
Никто не хочет, чтобы деятельность компании прекратилась вследствие наступления непредвиденных неблагоприятных обстоятельств. Даже задуматься об этом неприятно. Вот и стараются не думать об этом, в результате не планируют свои действия на этот случай. А зря. Рациональный подход к планированию кризисных ситуаций помог бы преодолеть многие проблемы, называемые форс-мажорами.
 
Дело каждого
 
Большинство украинских компаний работают, не занимаясь планированием непрерывности своей деятельности. В их тактических и стратегических планах нередко отсутствует идентификация опасностей, оценка и анализ рисков, а также планирование мер по управлению рисками. Вместе с тем, с любой деятельностью компании связано достаточно рисков, на каждом этапе своего развития компании проходят через ряд кризисных ситуаций, и упомянутая беспечность ставит под угрозу непрерывность их деятельности, их бизнеса.
 
Дополняющая ситуацию распространенная ошибка, заключается в разделении различных систем управления компанией, таких как планирование, риск-менеджмент, управление качеством, финансами, персоналом и т.д. Управление непрерывностью деятельности также рассматривается как отдельный блок (если компания знакома с этим инструментом). Все поделили и между каждым управленческим элементом провели грани, затем поднимается вопрос о необходимости создания интегрированной системы менеджмента. Но не лучше ли сразу заботиться о создании такой системы, которая будет направлена на устойчивое развитие компании?
 
Сила в единстве
 
Управление непрерывностью бизнеса как раз и объединяет различные элементы управления компанией. Это интегральная модель, которая показывает, какими вопросами необходимо заниматься, каким образом разработать систему управления компанией для того, чтобы бизнес компании был успешен и чтобы никакие ситуации не могли привести к разрывам в деятельности компании. Данный подход также учитывает и использует множество других методов и стандартов, разработанных ранее. В результате такого сочетания появился набор инструментов управления, с помощью которых выявляются потенциальные действия, угрожающие компании, и формируется структура для создания надежных способов защиты интересов собственников и сотрудников компании, ее репутации и предмета деятельности. Технология многогранна и включает в себя как свои методики, так и инструменты риск-менеджмента и многих других подсистем управления компанией.
 
С целью создания единых подходов по обеспечению непрерывности деятельности компании на сегодня разработан ряд стандартов, которые получили международное признание. Наибольшую активность в систематизации обеспечения непрерывности бизнеса проявляет Великобритания. Так в британском стандарте BS 25999, например, подробно расписаны шаги, которые необходимо предпринять компании для обеспечения непрерывности своей деятельности. Это стандарт был опубликован в двух частях в 2006 и 2007 годах. В нем, безусловно, учтены и многие из подходов к управлению, которые существуют в мире. Среди прочих BS 25999 ссылается также на международные стандарты ISO 20000, ISO 27000, стандарты серии ISO 9000 и другие.
 
Простым аршином не измерить
 
Практика ведения бизнеса украинскими компаниями существенно отличается от указанной методики, а происходит так, прежде всего, потому, что подход, который предлагается стандартом, совершенно не применяется. Точнее не применяется национальными компаниями, поскольку международные компании, работающие в Украине, с самого начала своей деятельности применяют методику непрерывности ведения деятельности. Стандарт BS 25999 не создавался на пустом месте, он создавался с учетом существующих в мировой практике стандартов деятельности различных компаний, которые часто бывают выше, чем многие национальные или международные стандарты.
 
Отечественные, «наши», компании, как правило, действуют по принципу «пока гром не грянет…». Нет подходов, которые оценивают все риски, связанные с деятельностью компании. Не строятся сценарии, которые возможны при наступлении того или иного риска. Не планируется, что нужно делать в таких ситуациях. У иностранных компаний это существует в виде письменных регламентов деятельности, в которых прописана вероятность инцидента, какими могут быть его негативные последствия, как их минимизировать, как продолжать бизнес во время их действия и после случившегося, какие приоритеты и временные рамки по восстановлению бизнеса, что, как и когда необходимо делать, и кто это сделает, а также какие превентивные мероприятия нужны для того, чтобы или упредить или минимизировать негативные последствия неблагоприятных факторов. Поэтому когда наступает форс-мажорная ситуация, то она уже просчитана, расписаны возможные варианты ее развития. Нет хаоса в действиях персонала, нет срочных собраний и заседаний, все действуют согласно существующих регламентов,.
 
Если в национальных компаниях есть сотрудники, которые могут заняться созданием подобных регламентов, то, как правило, они получили соответствующий опыт в международных компаниях. Если же ориентироваться только на теоретическую знания, то чаще всего существует необходимость дополнительной подготовки сотрудников, поскольку они возможно проходили только риск-менеджмент, но не получили информации о регламентах, которые существуют для обеспечения непрерывности бизнеса.
 
Следует отметить, что в большинстве национальных компаний работают умные толковые люди, которые разрабатывают мероприятия по обеспечению непрерывности деятельности, даже не задумываясь о том, как это называется, и что сегодня это выделено в отдельную сферу знаний. Но если мы не используем современные методы и механизмы, которые уже давно известны, то такие попытки подобны забиванию микронного гвоздя кувалдой (к сожалению, такие сравнения до сих пор актуальны, хотя появились они еще во времена СССР).
 
Знания все-таки имеют очень большое значение. Сегодня многим известна модель сбалансированных показателей – BSC. Одним из факторов, которому в ней уделяется существенное значение, как раз и являются знания персонала. А как их оценить? Что знает персонал, на каком уровне, и как может применить эти знания? По данным экспертов, в ближайшие три года будет создано больше информации, чем за предшествующие 40 000 лет. Как сориентироваться в этом потоке? Знают ли в наших компаниях риск-менеджеры стандарты, регламенты и правила идентификации опасностей и оценки рисков, управления рисками? Правила обеспечения непрерывности бизнеса? А ведь с этим напрямую связаны вопросы развития компании. Ведь не зря новый стандарт ISO 9004, который выходит в 2009 году, ориентирован на достижение успеха организации, и в нем идет речь также и о том, что компания должна владеть методами управления рисками.
 
Различия между компаниями, которые применяют и не применяют методики по обеспечению непрерывности бизнеса, существенны. Наверное, не будет преувеличением сказать, что не применение этого подхода один из важнейших и ключевых факторов отставания национальных компаний от международных. И его значение можно оценить не менее чем в 90% от всех остальных других причин. Если этот передовой зарубежный опыт и применяется в национальных компаниях, то происходит это в таком приблизительном виде, что напрашивается еще одно сравнение – вычисления на обычных счетах в эру современных компьютеров.
 
Спрос порождает предложение
 
Активное развитие обеспечения непрерывности бизнеса началось после того, как в мире начали существенно возрастать скорости деятельности и широкое распространение получили процессы глобализации мировой экономики, накопилось достаточно данных о событиях которые существенно влияют на бизнес компании. Нельзя сказать, что этим вопросом не занимались ранее, но серьезно деятельность в этом направлении в мире развернулась примерно с 1995 года (были созданы Институт непрерывности бизнеса, Институт восстановления после бедствий и другие организации). О важности данной сферы свидетельствует тот факт, что 80% бизнеса без планов непрерывности деятельности ликвидируется через полтора года после существенного инцидента (данные Британского института стандартов). Что-то случилось и 4/5 компаний ушли с рынка. Впечатляет.
 
В целом обеспечение непрерывности деятельности – это существенно новый подход, который был разработан в ответ на сформировавшуюся потребность международного бизнеса. Это существенно новая методика, которая не только учитывает не только то, что было разработано ранее, но и предлагает новое – каким образом сделать бизнес устойчивым к негативному воздействию непредвиденных обстоятельств. Основная ставка при этом делается на необходимости проведения анализа такого влияния и проведении предупредительных действий, снижающих его последствия.
 
Можно сказать, что та часть методики обеспечения непрерывности деятельности, которая является новаторством, не применялась ранее в предложенной последовательности. По большому счету, ранее вообще не существовало такого интегрального подхода, который бы учитывал все угрозы, которые могут оказать влияние на деятельность компании, и из-за которых могут происходить разрывы в ее деятельности. Такими угрозами могут быть совершенно разные обстоятельства, от природных катаклизмов и до техногенных аварий, отказов оборудования, забастовок и актов саботажа, нарушений в системах транспорта и информационного обеспечения, проблемами законодательства, штрафных санкций, сделок слияния и поглощения.
 
Первые ласточки
 
Некоторые отечественные компании уже начинают использовать технологию управления непрерывностью бизнеса. Но на первом этапе, по сути, ознакомления с ней, говорить о каких-либо результатах преждевременно. Если рассуждать о промежуточных результатах, то также сложно привести их статистику, поскольку пока внедрение нового подхода не придается огласке. Таким образом, данных по отечественным предприятиям практически нет, но зарубежный опыт показывает, что компании планирующие непрерывность своей деятельности оказываются более успешными, чем свои собратья не прибегающие к этому.
 
В Украине сейчас многие компании применяют различные международные стандарты. Это и стандарты ISO, стандарты финансовой отчетности и другие. В связи с глобализацией мировой экономики они получают все большее распространение, и на этом фоне внедрение стандартов обеспечения непрерывности деятельности в нашей стране является вполне закономерным явлением. В тоже время, может появиться вопрос о том, насколько применимы эти стандарты для национальных компаний, учитывая то, что организация управления их деятельностью существенно отличается от западной практики, для которой разрабатывалась методика управления непрерывностью. Действительно, мы отстаем по уровню менеджмента, но само это не будет препятствием. Наоборот, стремление к обеспечению непрерывности деятельности бизнеса и устойчивого роста, скорее всего, подтолкнет украинские компании к совершенствованию управления и позволит улучшить то, что раньше недостаточно было развито в наших организациях и сократить разрыв с западной системой менеджмента.
 
С другой стороны особых, невыполнимых, сверхъестественных, требований к системе управления предприятием новые стандарты не выдвигают. Эти регламенты на практике вполне может выполнить среднестатистический персонал, мидл и топ-менеджент отечественных компаний. Уровень развития отечественных кадров достаточно высокий, не хватает только знаний и опыта применения современных технологий управления бизнесом.
 
Пора креститься, гром прогремел
 
Сегодня ситуация, в которой находятся большинство компаний в Украине, далеко не стандартная, и в связи с этим могут быть самые разные мнения о том, насколько внедрение новых технологий будет своевременным. Может быть, стоит больше сосредоточиться на повседневных заботах и не предпринимать лишних действий, чтобы не расшатать лодку, которая и так вот-вот зачерпнет воду и может пойти ко дну? В чем-то это мнение правильное, но следует обратить внимание на то, что наличие кризиса не исключает возможности наступления отдельных инцидентов, которые могут представлять угрозу для деятельности бизнеса. Наоборот их вероятность в период нестабильности значительно возрастает. Соответственно и вопросы обеспечения сохранности устойчивости деятельности компаний выходят на первый план, и вряд ли в сложившейся ситуации их можно отнести к второстепенным задачам. Однозначно кризис подтолкнет компании к более серьезному отношению к этим вопросам.
 
В тоже время, некоторые компании могут пойти по пути экономии прилагаемых усилий и постараться ограничиться отдельными мерами, направленными на управление рисками, планирование, антикризисное управление и т.д. Безусловно, каждый решает сам для себя как лучше действовать, но основная проблема несистемных действий заключается в том, что они вряд ли приведут к успеху.
 
Стоит отметить, что даже плохой план непрерывности бизнеса лучше, чем его отсутствие, поскольку даже в плохом плане описана даже хоть часть тех действий, которые должна предпринять компания в определенной кризисной ситуации. Если плана нет, то действия персонала и менеджмента при наступлении инцидента будут абсолютно не предсказуемы и их результат предвидеть сложно. Вряд ли это можно будет назвать управлением в критической ситуации.
 
В каждой из компаний, которые трезво оценивают ситуацию и будут использовать технологию обеспечения непрерывности деятельности, будут создаваться свои индивидуальные модели реагирования на кризисные ситуации. Конкретные параметры модели в конкретной компании зависят от ряда факторов, в том числе от того, какой деятельностью занимается компания, на каких сегментах рынка она работает, какой у нее персонал, какие бизнес-процессы и особенности деятельности. В такой модели реагирования на различные кризисные ситуации будут разработаны различные планы действий, зависящие от основных параметров таких ситуаций. При этом в планах антикризисного управления будет очень четко видно, какие действия должны предприниматься, и кто за них отвечает.
 
Когда инцидент уже произошел руководство и персонал компании также не должны действовать хаотически, поэтому наступает время переходить ко второй категории планов, включенных в модель – планам восстановления бизнеса. Эти планы также зависят от характера события, и в них будут расписаны сроки восстановления, которые позволят выйти на показатели деятельности до инцидента. Естественно они будут содержать также расчеты, показывающие, когда компания сможет возобновить дальнейший рост.
 
Следует учесть и то, что хотя управление непрерывностью деятельностью не требует особенной подготовки персонала, но все же успешность реализации планов по обеспечению непрерывности деятельности, ее восстановления и дальнейшего роста в значительной мере зависит от того, насколько персонал компании знает свои действия по сценариям реагирования на кризисные ситуации. А кто же руководит процессом? По данным исследования компании Gartner в западных компаниях вопросы обеспечения непрерывности деятельности курируют более чем в 21% высшие руководители, директора по IT-технологиям тоже около 21%, заместители директора – 13%, финансовые директора – около 10%, совет директоров – около 9%, руководители отделов – около 6%.
 
В заключение необходимо отметить, что процессами управления непрерывностью деятельности должна быть реально охвачена вся компания, и они должны стержнем проходить через все ее подразделения и бизнес-процессы. При этом важно чтобы не получилось так, как иногда бывает, когда участвуют все, но никто ничего не делает.
Валентин Тихоненко,
Генеральный директор ЭКТЦ «ВАТТ» (г. Киев)
Категория: Мои статьи | Добавил: iso-manager (2010-Февраль-22)
Просмотров: 1664 | Теги: ISO 20000, ISO 9000, BS 25999, ISO 27000, ISO 9004
Всего комментариев: 0