РИСК-КОНТРОЛЛИНГ НЕПРЕРЫВНОСТИ БИЗНЕСА
Данилочкина Н.Г., профессор, д.э.н., Володин А.А., аспирант ИНЖЭКИН МАИ
В статье рассматривается механизм обеспечения стабильности деятельности организации посредством внедрения концепции риск-контроллинга, отвечающего за реализацию функций становления и совершенствования процесса обеспечения непрерывности бизнеса. Рассмотрены основные этапы процесса и роль концепции в них.
Ключевые слова: риск-контроллинг, непрерывность, процесс.
THE RISK-CONTROLLING OF BUSINESS CONTINUITY
Danilochkina N., the Profrssor, Ph.D., Volodin A., the post-graduate student, INSCHEKIN MAI
The article deals with a mechanism to ensure the stability of the organization by introducing the concept of risk controlling, responsible for implementing the functions of establishing and improving business continuity. The main stages of the process and the role of concepts in them.
Keywords: risk-controlling, the continuity of the process.
Как показывает практика в бизнесе происходит множество форс-мажорных инцидентов. Сложность прогнозирования развивающейся ситуации неминуемо приводит к ошибкам и погрешностям, неверно поставленным целям, методам их достижения. В результате снижается общая эффективность предприятия, ставя его в невыгодное, а порой даже в критическое положение.
Особое место среди угроз деятельности предприятия занимают сбои, влекущие за собой нарушение нормального хода деятельности предприятия. Потери от внезапных инцидентов могут вылиться в приостановление бизнес-процессов и повлиять на достижение корпоративных целей. А значительное число участников каждого бизнес-процесса, сложность используемых систем и процедур, факторов, влияющих на исход ситуации, — все это говорит о том, что процесс возврата к нормальному режиму работы необходимо четко регламентировать, назначая ответственных лиц, разрабатывая схемы действий и методы контроля. Таким образом, происходит достижение определенного уровня стабильности предприятия и бесперебойной его деятельности.
На сегодняшний день заметна активная популяризация методов реагирования и предупреждения нештатных ситуаций, иными словами обеспечения непрерывности деятельности. Понятие обеспечения непрерывности деятельности обозначает процесс, обеспечивающий возможность поддержания или быстрого восстановления деятельности организации на приемлемом уровне в случае наступления события, имеющего существенные негативные последствия при относительно невысокой вероятности его возникновения (например, серьезной аварии оборудования, пожара, сбоев в энергоснабжении, средствах связи и т. п.).
Важно отметить, что эффективность процесса непрерывности деятельности во многом определяется способностью организации своевременно адаптироваться к изменениям внешней и внутренней среды. Одним из решений, способных обеспечить согласованное внедрение, непрерывноесовершенствование и постоянный мониторинг эффективности процесса непрерывности бизнеса является риск-контроллинг. Использование данного механизматакже позволяет повысить эффективность процесса непрерывности бизнеса и обеспечить получение сведений об устойчивости предприятия в режиме реального времени.
В современной трактовке контроллинг представляет собой практическую концепцию управления процессами, обеспечивающую достижение стратегических целей предприятия через контроль оперативной деятельности, начиная с уровня показателей деятельности сотрудников, подразделений, до уровня организации в целом. Проецируя данную концепцию применительно на риски и непрерывность бизнеса, риск-контроллинг можно определить как субсистему контроллинга, направленную на поддержание и совершенствование способностей организации к обеспечению непрерывности бизнеса. Данная цель решается посредством реализации основных функций, которые заключаются в следующем:
• Координация процессов планирования, реализации и внедрения решений, направленных на обеспечение стабильности деятельности организации;
• Контроль и мониторинг эффективности решений, реализация механизма непрерывного совершенствования способностей к обеспечению устойчивости;
• Обеспечениериск-менеджмента и общего менеджмента компании информацией с целью поддержки руководства в процессе принятия решений в области непрерывности бизнеса;
• Рационализация бизнес - процессов в направлении предотвращения, либо сохранения устойчивости при возникновении инцидентов и снижения времени возможного простоя.
Формирование системы непрерывности бизнеса ставит своей задачей создание и развитие способностей к обеспечению непрерывности бизнеса на основе определения целей, создания политики, выделении ресурсов и привлечении компетентного персонала, осуществляющего постановку процесса и внедрение принципов непрерывности бизнеса в культуру организации.Жизненный цикл управления непрерывностью бизнеса представлен следующими основными этапы и роль риск-контроллинга в них:
- Планирование. Этот этап включает в себя разработку политики непрерывности бизнеса, представляющую собой свод принципов, стандартов и правил, к соблюдению которых организация будет стремится и в сравнении с которыми будет оценивать свою способность к обеспечению непрерывности бизнеса.
Определенные в политике цели достигаются путем реализации программы непрерывности бизнеса, представляющей документально утвержденный порядок действий по реализации политики.
Задачами риск-контроллинга на данном этапе являются:
• Разработка проекта политики управления непрерывностью бизнеса (УНБ) организации;
• Обеспечение согласования целей определенных в политике УНБ с целями организации;
• Разработка сопутствующей документации, алгоритмов принятия решений, организация системы учета инцидентов и закрепление обязанностей по заполнению форм отчетности за ответственными лицами
• Порядок контроля компетентности персонала и адекватности применяемых методик существующим рискам.
• Поддержание актуальности разработанной системы.
На основе разработанных планов и программ строится процесс реализации и внедрения системы УНБ. Проводится анализ организации, на основе которого формируется представление о ее основных продуктах и услугах, а также критически важных областях деятельности, ресурсах и обязательствах перед заинтересованными сторонами. Для каждого из выбранных элементов производится оценка во времени воздействия дестабилизирующего, нарушающего нормальный ход деятельности и устанавливается его максимально допустимая продолжительность.
Эффективный план обеспечения непрерывности деятельности является действенным и недорогим способом страхования компании от возможных инцидентов, и затраты на него должны рассматриваться как неотъемлемая часть необходимых издержек на поддержание бесперебойной деятельности организации.
- Анализ ситуации и воздействия на бизнес. Основной задачей данного этапа является анализ и установление требований по обеспечению непрерывности бизнеса применительно к выбранным объектам, таким как ключевые продукты, услуги, ресурсы (персонал, помещения, технологии, информация, запасы), требования заинтересованных сторон.
Для организации важно определить подход к оценке рисков,
который в достаточной степени соответствовал специфике ее деятельности. Реализация функций риск-контроллинга в этом случае будет состоять в следующем:
• Описание бизнес-процессов;
• Инвентаризация активов и процессов;
• Выявление уязвимых мест компании;
• Классификация возможных опасных событий и оценка вероятности их возникновения;
• Определение критериев принятия рисков. Заключается в установлении обстоятельств, при которых организация готова принимать на себя риски;
• Определение допустимого уровня риска, объем которого, готова взять на себя организация при условии возникновения серии инцидентов;
• Анализ рисков. Основывается на выявлении конкретных угроз и уязвимостей, оказывающих влияние на деятельность организации, что служит базой для формирования соответствующей программы воздействия;
• Разработка сценариев чрезвычайных ситуаций;
• Разработка критериев, на основании которых объявляется чрезвычайная ситуация;
• Организация эффективного сбора данных;
• Обеспечение взаимодействия с подразделениями.
На основе оценки рисков организация определяет меры позволяющие снизить вероятность возможного нарушения нормального хода деятельности, уменьшить его продолжительность, а также ограничить воздействие нарушения на основные продукты и услуги организации.В результате анализа воздействия рисков формируется стратегия непрерывности бизнеса.
- Следующая стадия представляет собой разработку и внедрение соответствующих планов и мероприятий, направленных на обеспечение непрерывности критически важных видов деятельности и управление инцидентами.
На случай возникновения инцидента должна существовать простая и быстро формируемая структура или стратегия, которая позволит организации:
• определить характер и размах инцидента,
• взять ситуацию под контроль, принять меры по сдерживанию инцидента,
• связаться с заинтересованными сторонами.
Эта же структура должна приводить в действие надлежащие меры реагирования по обеспечению непрерывности процесса.
Задачи риск-контроллинга состоят, в данном случае, в определении альтернативных стратегий восстановления организации, которые помогут обеспечить сохранение критически важных функций и предствилении рекомендаций по их выбору.
Функции риск-контроллинга:
1. выявление имеющихся альтернатив, определение их преимуществ и недостатков, оценка затрат;
2. поиск действенных стратегий восстановления функций организации;
3. интеграция стратегий;
4. формулирование требований к сохранению ключевых ресурсов;
5. обеспечение поддержки стратегий структурными подразделениями организации;
6. Предоставление стратегии руководству и обеспечение его участия в работе.
- Реализация, поддержка и непрерывное совершенствование. В небольших организациях ответственность за управление инцидентами и непрерывностью бизнеса может быть возложена на одного сотрудника. В более крупных организациях может применяться многоуровневый подход, и при необходимости могут быть сформированы рабочие группы, имеющие четкие планы и инструменты обеспечения непрерывности бизнеса, обеспечивая ключевую цель восстановления - в кротчайшие сроки вернуться к нормальному состоянию.
С целью проверки адекватности используемых мероприятий существующей ситуации проводятся учения и их последующий анализ. В результате учений происходит отработка планов на предмет достижения и соответствия поставленным целям. Безупречная работа в нештатных условиях является наглядным подтверждением способности к обеспечению непрерывности бизнеса и управлением инцидентом.
Мониторинг эффективности может принимать форму внутрен-
них или внешних проверок либо самооценки. Частота и сроки проведения проверок могут зависеть от требований законодательства и нормативной базы, размеров, характера и правового статуса организации. Кроме того, на них могут повлиять требования заинтересованных сторон.
Проверки, проводимые в рамках мониторинга, направлены на выявление возможной потребности во внесении изменений в политику, стратегию, цели и другие элементы системы непрерывности бизнеса, в свете таких факторов как результаты учений, изменение обстоятельств и обязательства по непрерывному совершенствованию.
Корректирующие меры выполняются для уменьшения последствий разнообразных нарушений, связанных с реализацией и функционированием системы непрерывности бизнеса и предотвращения повторения подобных нарушений в будущем. В связи с этим риск-контроллинг отвечает также за выявление причин произошедших нарушений на основе заранее определенных критериев, позволяющих сделать заключение о необходимости выполнения дополнительных действий.
Таким образом, применение качественных методов управления при становлении процесса непрерывности бизнеса позволяет обеспечить не только действенную защиту от внезапной потери работоспособности, но и повысить качество продуктов и услуг, имидж организации в глазах ее партнеров, заказчиков, служащих и инвесторов. Реализация риск-контроллингом функций по управлению нештатными ситуациями позволяет повысить стабильность организации, обеспечить достижение следующих результатов:
• получение возможности оказания услуг высокого качества даже при возникновении существенных негативных воздействий;
• уменьшение продолжительности прерываний бизнес-процессов;
• уменьшение размера ущерба от прерывания бизнес-сервисов;
• сокращение времени обнаружения инцидента и принятия решения об активации плана обеспечения непрерывности деятельности;
• сокращение времени, требующегося для возвращения в штатный режим работы после выполнения плана обеспечения непрерывности деятельности;
• Укрепление репутации/бренда организации за счет минимизации последствий от наступления инцидентов;
• Сохранение ключевых активов и снижение зависимости организации от ключевых активов;
• Повышение инвестиционной привлекательности.
Литература:
1. BS 25999-1:2006 Управление непрерывностью бизнеса -Часть 1: Практические правила.
2. BS 25999-2:2007 Управление непрерывностью бизнеса -Часть 2: Спецификация.
3. «Контроллинг как инструмент управления предприятием», Н. Г. Данилочкина. - М.: ЮНИТИ, 2002. -279с.
4. «A Risk Management Approach to Business Continuity», David Kaye - FBCI, 2006, 420.