[[slotProps.postItem.title]]
Проблемы готовности к реагированию на инциденты постепенно входят в повседневную практику предприятий. Тема Resilience, или жизнестойкости, затрагивающая круг вопросов, касающихся устойчивости и адаптивности компаний к различным кризисам, сейчас в ряду наиболее актуальных. Однако единого понимания и подходов к тому, как достичь требуемого уровня готовности к реагированию, пока нет.
Накопленные по этой теме знания могут так и остаться «мертвым грузом» до тех пор, пока не будут трансформированы в ресурсы и практические навыки, применяемые по ситуации. Поэтому попробуем кратко обобщить существующие на сегодня подходы к практическому внедрению Resilience.
Как подчеркивается во многих исследованиях[1], в основе готовности к реагированию лежит процесс организационного обучения. Чем эффективнее построено это обучение, тем выше уровень готовности противостоять кризисам. В первую очередь это относится к процессам извлечения уроков из негативного опыта.
Простейшая одноконтурная схема обучения предполагает внесение небольших корректив в устоявшиеся процессы по итогам неблагоприятных событий. Следующий уровень обучения – двухконтурный – предполагает коррекцию управляющих мер, которые впоследствии влияют на бизнес-процессы. Наиболее совершенный на сегодня уровень усвоения уроков по результатам произошедших событий предполагает три контура: изменения в системе обучения – изменения в управляющих воздействиях – изменения в процессах. Причем в последнее время все чаще передовыми практиками[2] уроки извлекаются не только из негативного опыта, но и из опыта рутинных бизнес-процессов с позитивным исходом.
Помимо четко спланированных процедур не последнюю роль в организации реагирования на кризисы играют неформальные коммуникации внутри компаний. То есть необходимо обеспечить такую среду, которая позволит использовать инициативы, направленные снизу-вверх, и неформальную координацию между подразделениями. Если сейчас к реагированию на инциденты чаще всего централизованно привлекаются подразделения информационной безопасности, информационных технологий, риск-менеджмента, управления персоналом, физической безопасности и непрерывности бизнеса, то в идеальном варианте предполагается активное включение всех необходимых подразделений. Целью построения кризисных коммуникаций должны быть единое понимание ситуации и автокоординация своих ролей в ней для всех заинтересованных лиц. Помимо владельцев компании, сотрудников, клиентов, жителей окрестных территорий, местных органов управления сюда может включаться координация с другими предприятиями и пр.
Еще одним важным качеством устойчивой организации является способность «разучиваться», то есть способность избавляться от неэффективных процессов и процедур, мешающих своевременно реагировать на кризис.
Итогом всей системы организационного обучения в направлении устойчивости к кризисным ситуациям должен стать набор практических навыков реагирования на непредвиденные события различной природы. С точки зрения подхода Resilience уроки не выучены до тех пор, пока на сформированы необходимые реакции в соответствии с ситуацией. А такие реакции формируются только в процессе регулярных тренингов как на реальных ситуациях, так и в результате стресс-тестирования.
Очевидно, что лучший опыт можно получить только на практике, но реальные инциденты случаются не так часто, поэтому во многих компаниях проводится тестирование процессов восстановления после сбоев. Чаще это делается для отдельных функций и процессов, например для информационных систем. Цель такого тестирования – восстановить работоспособность информационной инфраструктуры и доступность данных в допустимое время.
Используя логику декомпозиции (Табл.1), возможно провести тестирование устойчивости практически всех критически важных бизнес-процессов компании.
[1] Evenseth L., Sydnes M., Gausdal A. Building Organizational Resilience Through Organizational Learning: A Systematic Review // Frontiers in Communication. 2022. doi: 10.3389/fcomm.2022.837386
[2] Hollnagel E. Prologue: the scope of resilience engineering // In Resilience Engineering in Practice: A Guidebook, editors E. Hollnagel, J. Pariès, D. Woods, and J. Wreathall (England: Surrey: Taylor & Francis Group). 2011. Pp. 30–41.
При таком подходе тестируются отдельные критические процессы, но не отрабатываются кросс-функциональные кризисные коммуникации и не выявляются скрытые угрозы.
Для преодоления этого ограничения при проведении кризисных учений используются сценарии аварий и инцидентов, разработанные в соответствии с операционными особенностями конкретной организации. Могут рассматриваться сценарии как по отдельной угрозе, так и по комплексу угроз. Сценарий должен быть достаточно правдоподобным, детальным, должен описывать тип и масштабы экстремального события, его охват, последствия. Для разработки таких сценариев возможно привлечение экспертов из смежных областей деятельности. Примерный план действий по сценарию может выглядеть следующим образом (Рис.1).
Например, сотрудники предприятий ГК «Росатом» отрабатывают навыки реагирования во время регулярно проводимых отраслевых, межведомственных и международных учений, которые проводятся совместно с Минобороны России, МЧС России, МВД России, ФСБ России. Для информационной поддержки по действиям в кризисных ситуациях в отрасли действует ситуационно-кризисный центр.
Производственные предприятия в качестве отправной точки при построении сценариев кризисных событий могут использовать результаты предстраховой экспертизы. Сюрвейерские отчеты, выполненные сертифицированными риск-инженерами, содержат в себе сценарии развития событий с их вероятностными оценками. Проведение учений по этим сценариям может существенно снизить размер возможных убытков и сократить время восстановления после кризиса. Помимо приведенных положительных моментов в результате таких учений возможно снижение размера страхового тарифа. Кроме того, по некоторым видам страхования, таким как страхование киберрисков, по согласованию со страховщиком, для ликвидации последствий страховых случаев возможно привлечение ряда специализированных компаний, что также может существенно сократить размер возможного убытка.
Все вышеописанные действия по подготовке к реагированию достаточно сложны в исполнении и требуют привлечения серьезных ресурсов. Поэтому на настоящий момент подавляющая часть компаний, системно занимающихся подготовкой к реагированию на кризисы, – представители крупного бизнеса. Для компаний малого и среднего бизнеса тема реагирования менее доступна по ресурсам, но не менее актуальна. Более того, небольшие компании, обеспечивающие устойчивость крупных компаний и в итоге всего общества, входят в категорию наиболее уязвимых перед лицом возможных кризисов.
Для таких компаний существует масса пособий, содержащих простые в исполнении рекомендации и чек-листы по организации мер реагирования на кризисы. Например, это могут быть подобные рекомендации:
· поддерживайте связи в своей отрасли;
· еженедельно проводите короткую риск-сессию или тренинг по тестовой ситуации;
· создайте и сделайте доступным список кризисных контактов;
· регулярно тестируйте надежность информационной инфраструктуры, доступность данных, восстановление из бэкапов.
Как видим, эти простые рекомендации полностью соответствуют логике организации реагирования для крупных компаний.
Таким образом, несмотря на отсутствие универсальной методики, очевидны основные принципы построения эффективной системы реагирования на кризисы в компаниях независимо от их размера – это систематическая работа по выявлению угроз, моделирование возможных последствий и регулярные тренинги по отработке практических навыков действия в кризисных ситуациях с последующим анализом.
Автор: Лариса Саченко
