[[slotProps.postItem.title]]
Resilience – тема, которая в последние годы приобретает все большее значение, и эта траектория вряд ли изменится в обозримом будущем. Resilience можно перевести как «устойчивость» – способность организации противостоять вызовам различного масштаба и достигать поставленных целей. К слову «устойчивость» в различных источниках прибавляют слова «операционная» или «организационная» – сути это не меняет.
Тема resilience в ведущих странах мира поднимается давно. Например, одно из определений операционной устойчивости предложил Банк Англии в 2015 году[1]: «Способность организации защищать или поддерживать свои критичные функции
и базовые активы, при этом адаптируясь к ожидаемым или неожиданным проявлениям операционного риска или авариям».
Как мы видим, Resilience включает в себя и управление рисками, и обеспечение непрерывности бизнеса.
Высокий уровень неопределенности, в котором существуют современные организации, подталкивает ТОП-менеджмент к развитию риск-ориентированных подходов в управлении. В процессе принятия управленческих решений все чаще начинают использовать результаты анализа рисков. Однако для повышения устойчивости организации должны развивать не только систему управления рисками, но и смежные функции.
В любой организации подразделения и процессы можно разделить на те, которые напрямую ориентированы на оказание услуг клиентам, и на те, которые помогают бизнес-подразделениям выполнять поставленные задачи, – так называемые обеспечивающие. К ним можно отнести, например, управление рисками, различные виды безопасности (физическую, информационную и экономическую), промышленную безопасность и охрану труда, непрерывность бизнеса и кризисное управление, информационные технологии и др.
Есть мнение, что некоторые из вышеперечисленных функций являются затратными для организаций. Это не так, хотя на первый взгляд так может показаться.
Физическая и экономическая безопасность помогают предотвратить заключение контрактов с неблагонадежными контрагентами, банкротство или мошеннические действия которых могут привести к серьезным последствиям в виде убытков для деятельности организации. Одним из примеров можно назвать строительную отрасль, где управляющие компании и застройщики зависят от подрядных организаций. Есть ситуации, когда договора подписываются с подрядчиками, по которым были отрицательные решения служб экономической безопасности. Как результат, подрядные организации не соблюдают требования контракта, что приводит в лучшем случае к нарушениям сроков сдачи объектов и штрафным санкциям, а в худшем – к финансовым потерям в десятки и сотни миллионов рублей потерянных авансовых платежей.
Например, Управляющая компания «М» заключила договор с подрядной организацией на возведение жилого комплекса бизнес-класса. Подрядчик после получения крупной суммы в качестве аванса стал задерживать сдачу объекта, а при строительных работах использовать некачественный материал. Потенциальный актив для Управляющей компании стал замороженным на неопределенное время, что ухудшило ликвидность и снизило платежеспособность компании.
Недостаточные инвестиции в информационную безопасность приводят к невозможности отразить атаки злоумышленников, которые приводят к катастрофическим последствиям – остановке производственных процессов и даже замене оборудования на производственных линиях. В качестве примера можно привести Североевропейскую компанию «N», на которую была произведена атака вируса-вымогателя. Производство было приостановлено либо переведено на ручное управление на нескольких заводах в различных регионах. Атака стоила компании десятков миллионов долларов.
Подразделения промышленной безопасности помогают предотвратить инциденты, последствием которых может быть значительное воздействие на экологию. Авария сама по себе может и не привести к остановке производственной деятельности, но экологические последствия вынудят к перераспределению финансирования с производственных процессов на устранение негативных последствий. Например, масштабный разлив нефтепродуктов в крупной нефтяной компании «Х» привел к необходимости проведения дорогостоящих мероприятий по локализации чрезвычайной ситуации и последующей очистке окружающей природной среды. В отношении компании были наложены также крупные штрафные санкции.
Юридические подразделения помогают избежать рисков несоответствия регуляторным требованиям. Нельзя упускать из виду, что активное взаимодействие с регулятором на стадии подготовки формулировок для нормативных актов позволяет предотвратить выход документов, несущих риск для деятельности организации (ограничение производства, рынков сбыта и т. д.).
Подразделения по обеспечению непрерывности бизнеса помогают заранее определить критичные зависимости между процессами и ресурсами и подготовить нужные резервы, что повышает скорость восстановления в случае аварии.
Согласно исследованию PwC «Готовность к кризисным ситуациям» 2020 г. о готовности к кризисным ситуациям, более 50% респондентов привлекают к кризисным тестированиям более 5 различных департаментов, что свидетельствует о понимании взаимосвязи многих процессов внутри компании.
Эффективная, бесперебойная работа организаций зависит от того, как выстроены коммуникации между всеми центрами компетенций. Однако практика показывает, что подразделения достаточно часто не знают, какой проект в области повышения устойчивости к рискам и угрозам инициируют смежные департаменты, несмотря на то, что проекты по минимизации ИТ, ИБ и операционных рисков имеют много пересечений и совместная работа повысила бы эффективность при достижении нужных результатов.
Согласно исследованию PwC «Доверие к цифровым технологиям», 49% компаний оценивают работу функций по управлению рисками, внутреннему аудиту, комплаенсу и кибербезопасности как разобщенную, которая не формирует единого представления о рисках и угрозах.
Новый уровень развития корпоративного управления предполагает концепцию организационной (операционной) устойчивости. Как показали результаты исследования PwC «Непрерывность бизнеса в России» 2019 г., вопросы обеспечения непрерывности бизнеса все больше входят в сферу интересов руководства компаний, осознающих важность соответствующих процессов для достижения стратегических целей. Руководители компаний, как инициаторы внедрения процессов управления непрерывностью бизнеса, составили 32% от общего числа респондентов.
Как можно выстроить эффективное взаимодействие между центрами компетенций? Во-первых, необходимо четко прописать зоны ответственности каждого функционального центра и зафиксировать это в документе, например, Положении о ролях. Помимо самих границ ответственности фиксируются информационное потоки, которые проходят между этими центрами – от кого и какая информация поступает и какие данные передаются коллегам. Обязательно нужно сформировать единую терминологию.
Во-вторых, создается площадка для обмена информацией. Можно расширить полномочия существующих организационных единиц, например, Комитета по рискам, а можно создать новый орган – Антикризисный комитет (рис. 1).
Внедряя организационную устойчивость, необходимо повышать уровень цифровизации процессов, например, автоматизировать анализ данных из смежных областей, включая различные типы рисков, применять инструменты обмена информацией и мониторинга событий, а также достижения робототехники, разработки в области искусственного интеллекта и дополненной/виртуальной реальности.
Достижение бизнес-целей зависит от правильных решений руководства. Быть уверенным в верном решении можно, только основываясь на качественно подготовленной информации, которую могут предоставить эксперты, выработав ее с учетом мнения заинтересованных сторон и взаимозависимостей процессов внутри и вовне организации. Этому будет способствовать площадка для обмена информацией и выстроенные каналы передачи данных.
Внедрение комплексной системы организационной устойчивости несет ценность для организации – это и сокращение убытков из-за незапланированных простоев в результате инцидентов, и соответствие регуляторным требованиям, улучшение репутации и доверие клиентов.
[1] Dear Chairman Letter II glossary.
Автор статьи Ю. Веселов.
Руководитель практики в области непрерывности бизнеса и кризисного управления.
