Как управлять уязвимостью в бизнесе

Как понять, в чем ваш бизнес уязвим? Как определить угрозы и правильно выстроить защиту? Можно ли предвидеть их и подготовиться заранее? Эти вопросы были выведены в отдельную область корпоративного управления еще в 1990-х годах. Сегодня Екатерина Юсупова, директор департамента бизнес-консалтинга SAS Россия/СНГ, анализирует их с учетом реалий нынешнего непростого периода.

Поводом к вышеупомянутым нововведениям в корпоративном управлении послужило сложившееся понимание, что мы никогда до конца не знаем, какие риски несем или с чем столкнемся в будущем, но действовать должны так, как если бы знали.

Всегда существует вероятность, что ­что-то пойдет не так. Причиной тому может быть то, как выстроен процесс, влияние человеческого фактора или чрезвычайные условия, например, пандемия или стихийное бедствие. Таким образом, в корпоративном управлении особо были подчеркнуты необходимость управления операционным риском и обеспечения непрерывности деятельности.

Риск-менеджмент при этом рассматривается как действия, направленные на снижение вероятности возникновения события и его влияния (если невозможно исключение подобного события в принципе). В контексте рассматриваемого здесь управления операционным риском это в первую очередь выявление уязвимостей и устранение их причин через совершенствование процессов и систем контроля, а также выработка стратегий минимизации возможных потерь.

Но, несмотря на снижение риска до приемлемого в организации уровня, могут существовать угрозы, реализация которых не могла быть предвидена. На такие случаи в компании должны быть разработаны планы действий с целью минимизации последствий и вывода организации из критической ситуации — так называемые планы обеспечения непрерывности деятельности.

И управление операционным риском, и обеспечение непрерывности деятельности сегодня приобретают новое звучание. Во-первых, они перестают восприниматься как факультативные процессы, и формальный подход к их реализации уходит в прошлое. Это случилось не без влияния пандемии COVID‑19. Во-вторых, меняется сам подход к обеспечению непрерывности деятельности. Уже недостаточно его понимания исключительно как процесса, обеспечивающего поддержание или быстрое восстановление деятельности организации до приемлемого уровня в случае наступления чрезвычайного условия. Обеспечение непрерывности деятельности начинается существенно раньше — на этапе идентификации возможных угроз. Это позволяет не только проработать возможные сценарии и выработать алгоритмы реагирования, но и заблаговременно устранить многие уязвимости, выстроить механизмы защиты. В этом и заключается взаимосвязь управления операционным риском и обеспечения непрерывности деятельности.

Как выстроить такую систему?

Прежде всего необходимо наладить процессы идентификации риска. Это, во‑первых, сбор данных об уже случившихся событиях, их анализ и определение причин (факторов риска). Во-вторых, нужно выявить уязвимости через «примерку» имеющихся данных об уже реализованном риске к схожим процессам и провести оценку контролей — в данном случае вы работаете уже с потенциальным риском. Инструментом для этого служит самооценка по операционным рискам и анализ внешней базы данных (данных об операционном риске иных компаний соответствующей отрасли).

Важно отметить, что управление операционным риском и обеспечение непрерывности деятельности — это сферы, в которые должна быть вовлечена вся организация в целом: все направления деятельности и уровни менеджмента. Краеугольным здесь выступает глубокое понимание процессов и технологий организации и их взаимосвязи, а выявление всех существующих и возможных угроз возможно лишь в тесном контакте с владельцами процессов. Вот почему самооценка — один из ключевых инструментов в рассматриваемых сферах.

Что искать и где смотреть?

Анализу должны быть подвергнуты абсолютно все направления деятельности. В фокусе внимания должны быть следующие вопросы:

  1. Как организованы процессы? Наличие в них необходимых эффективных и адекватных контролей.
  2. Насколько организация защищена от злоупотреблений и ошибок сотрудников?
  3. Как обеспечено функционирование информационных систем и как выстроена работа по их восстановлению в случае сбоев?
  4. Каким внешним угрозам может быть подвержена деятельность организации, и каковы механизмы защиты?

Следующим шагом в построении системы становится оперативное принятие решений. Это особенно критично в чрезвычайных условиях, где крайне необходимы скорость и прозрачность информации в основе решений. Соответственно, важно, как выстроена аналитика. Ее структура должна давать моментальный ответ: что произошло, причины произошедшего, кто виноват, что делать и зачем нам нужно это знать.

 

 

Какие решения и действия могут быть предприняты с целью устранения уязвимостей и минимизации возможных потерь?

В первую очередь это уже упоминавшееся совершенствование процессов и технологий и исключение в них факторов риска (например, через изменение контролей) либо передача риска (например, посредством страхования).

В заключение приведу пример. Рассмотрим ограбление банкомата посредством его подрыва или вырывания. Снизить риск в таком случае могут конструктивные изменения банкоматов и их монтажных креплений, а также заключение договора с охранными агентствами или вневедомственной охраной с обозначенным временем реагирования на сигналы тревоги и условием о возмещении понесенных потерь в случае его нарушения. Данные меры можно применить в тех районах, где риск наиболее высок, а в иных — усилить крепления устройств и снизить лимит наличных в банкоматах, заключить договоры страхования.

Подписывайтесь на наши группы, чтобы быть в курсе событий отрасли.

Читайте в этом номере:


Перейти к началу страницы

Подпишитесь на новости индустрии

Нажимая на кнопку "подписаться", вы соглашаетесь с


политикой обработки персональных данных