188
Как управлять уязвимостью в бизнесе
Поводом к вышеупомянутым нововведениям в корпоративном управлении послужило сложившееся понимание, что мы никогда до конца не знаем, какие риски несем или с чем столкнемся в будущем, но действовать должны так, как если бы знали.
Всегда существует вероятность, что что-то пойдет не так. Причиной тому может быть то, как выстроен процесс, влияние человеческого фактора или чрезвычайные условия, например, пандемия или стихийное бедствие. Таким образом, в корпоративном управлении особо были подчеркнуты необходимость управления операционным риском и обеспечения непрерывности деятельности.
Риск-менеджмент при этом рассматривается как действия, направленные на снижение вероятности возникновения события и его влияния (если невозможно исключение подобного события в принципе). В контексте рассматриваемого здесь управления операционным риском это в первую очередь выявление уязвимостей и устранение их причин через совершенствование процессов и систем контроля, а также выработка стратегий минимизации возможных потерь.
Но, несмотря на снижение риска до приемлемого в организации уровня, могут существовать угрозы, реализация которых не могла быть предвидена. На такие случаи в компании должны быть разработаны планы действий с целью минимизации последствий и вывода организации из критической ситуации — так называемые планы обеспечения непрерывности деятельности.
И управление операционным риском, и обеспечение непрерывности деятельности сегодня приобретают новое звучание. Во-первых, они перестают восприниматься как факультативные процессы, и формальный подход к их реализации уходит в прошлое. Это случилось не без влияния пандемии COVID‑19. Во-вторых, меняется сам подход к обеспечению непрерывности деятельности. Уже недостаточно его понимания исключительно как процесса, обеспечивающего поддержание или быстрое восстановление деятельности организации до приемлемого уровня в случае наступления чрезвычайного условия. Обеспечение непрерывности деятельности начинается существенно раньше — на этапе идентификации возможных угроз. Это позволяет не только проработать возможные сценарии и выработать алгоритмы реагирования, но и заблаговременно устранить многие уязвимости, выстроить механизмы защиты. В этом и заключается взаимосвязь управления операционным риском и обеспечения непрерывности деятельности.
Как выстроить такую систему?
Прежде всего необходимо наладить процессы идентификации риска. Это, во‑первых, сбор данных об уже случившихся событиях, их анализ и определение причин (факторов риска). Во-вторых, нужно выявить уязвимости через «примерку» имеющихся данных об уже реализованном риске к схожим процессам и провести оценку контролей — в данном случае вы работаете уже с потенциальным риском. Инструментом для этого служит самооценка по операционным рискам и анализ внешней базы данных (данных об операционном риске иных компаний соответствующей отрасли).
Важно отметить, что управление операционным риском и обеспечение непрерывности деятельности — это сферы, в которые должна быть вовлечена вся организация в целом: все направления деятельности и уровни менеджмента. Краеугольным здесь выступает глубокое понимание процессов и технологий организации и их взаимосвязи, а выявление всех существующих и возможных угроз возможно лишь в тесном контакте с владельцами процессов. Вот почему самооценка — один из ключевых инструментов в рассматриваемых сферах.
Что искать и где смотреть?
Анализу должны быть подвергнуты абсолютно все направления деятельности. В фокусе внимания должны быть следующие вопросы:
- Как организованы процессы? Наличие в них необходимых эффективных и адекватных контролей.
- Насколько организация защищена от злоупотреблений и ошибок сотрудников?
- Как обеспечено функционирование информационных систем и как выстроена работа по их восстановлению в случае сбоев?
- Каким внешним угрозам может быть подвержена деятельность организации, и каковы механизмы защиты?
Следующим шагом в построении системы становится оперативное принятие решений. Это особенно критично в чрезвычайных условиях, где крайне необходимы скорость и прозрачность информации в основе решений. Соответственно, важно, как выстроена аналитика. Ее структура должна давать моментальный ответ: что произошло, причины произошедшего, кто виноват, что делать и зачем нам нужно это знать.
Какие решения и действия могут быть предприняты с целью устранения уязвимостей и минимизации возможных потерь?
В первую очередь это уже упоминавшееся совершенствование процессов и технологий и исключение в них факторов риска (например, через изменение контролей) либо передача риска (например, посредством страхования).
В заключение приведу пример. Рассмотрим ограбление банкомата посредством его подрыва или вырывания. Снизить риск в таком случае могут конструктивные изменения банкоматов и их монтажных креплений, а также заключение договора с охранными агентствами или вневедомственной охраной с обозначенным временем реагирования на сигналы тревоги и условием о возмещении понесенных потерь в случае его нарушения. Данные меры можно применить в тех районах, где риск наиболее высок, а в иных — усилить крепления устройств и снизить лимит наличных в банкоматах, заключить договоры страхования.
