Риск — контроллинг как инструмент обеспечения непрерывности бизнеса

Анализ ситуации и воздействия на бизнес. Основной задачей данного этапа является анализ и установление требований по обеспечению непрерывности бизнеса применительно к выбранным объектам, таким как ключевые продукты, услуги, ресурсы (персонал, помещения, технологии, информация, запасы), требования заинтересованных сторон.
Для организации важно определить подход к оценке рисков, который в достаточной степени соответствовал специфике ее деятельности. Реализация функций риск-контроллинга в этом случае будет состоять в следующем:
— Описание бизнес-процессов;
— Инвентаризация активов и процессов;
— Выявление уязвимых мест компании;
— Классификация возможных опасных событий и оценка вероятности их возникновения;
— Определение критериев принятия рисков. Заключается в установлении обстоятельств, при которых организация готова принимать на себя риски;
— Определение допустимого уровня риска, объем которого, готова взять на себя организация при условии возникновения серии инцидентов;
— Анализ рисков. Основывается на выявлении конкретных угроз и уязвимостей, оказывающих влияние на деятельность организации, что служит базой для формирования соответствующей программы воздействия;
— Разработка сценариев чрезвычайных ситуаций;
— Разработка критериев, на основании которых объявляется чрезвычайная ситуация;
— Организация эффективного сбора данных;
— Обеспечение взаимодействия с подразделениями.
На основе оценки рисков организация определяет меры позволяющие снизить вероятность возможного нарушения нормального хода деятельности, уменьшить его продолжительность, а также ограничить воздействие нарушения на основные продукты и услуги организации. В результате анализа воздействия рисков формируется стратегия непрерывности бизнеса.
— Следующая стадия представляет собой разработку и внедрение соответствующих планов и мероприятий, направленных на обеспечение непрерывности критически важных видов деятельности и управление инцидентами.
На случай возникновения инцидента должна существовать простая и быстро формируемая структура или стратегия, которая позволит организации:
— определить характер и размах инцидента,
— взять ситуацию под контроль, принять меры по сдерживанию инцидента,
— связаться с заинтересованными сторонами.
Эта же структура должна приводить в действие надлежащие меры реагирования по обеспечению непрерывности процесса.
небольших организациях ответственность за управление инцидентами и непрерывностью бизнеса может быть возложена на одного сотрудника. В более крупных организациях может применяться многоуровневый подход, и при необходимости могут быть сформированы рабочие группы, имеющие четкие планы и инструменты обеспечения непрерывности бизнеса, обеспечивая ключевую цель восстановления – в кротчайшие сроки вернуться к нормальному состоянию.
С целью проверки адекватности используемых мероприятий существующей ситуации проводятся учения и их последующий анализ. В результате учений происходит отработка планов на предмет достижения и соответствия поставленным целям. Безупречная работа в нештатных условиях является наглядным подтверждением способности к обеспечению непрерывности бизнеса и управлением инцидентом.
Мониторинг эффективности может принимать форму внутренних или внешних проверок либо самооценки. Частота и сроки проведения проверок могут зависеть от требований законодательства и нормативной базы, размеров, характера и правового статуса организации. Кроме того, на них могут повлиять требования заинтересованных сторон.
Проверки, проводимые в рамках мониторинга, направлены на выявление возможной потребности во внесении изменений в политику, стратегию, цели и другие элементы системы непрерывности бизнеса, в свете таких факторов как результаты учений, изменение обстоятельств и обязательства по непрерывному совершенствованию.
Корректирующие меры выполняются для уменьшения последствий разнообразных нарушений, связанных с реализацией и функционированием системы непрерывности бизнеса и предотвращения повторения подобных нарушений в будущем. В связи с этим риск-контроллинг отвечает также за выявление причин произошедших нарушений на основе заранее определенных критериев, позволяющих сделать заключение о необходимости выполнения дополнительных действий.
Таким образом, применение качественных методов управления при становлении процесса непрерывности бизнеса позволяет обеспечить не только действенную защиту от внезапной потери работоспособности, но и повысить качество продуктов и услуг, имидж организации в глазах ее партнеров, заказчиков, служащих и инвесторов. Реализация риск-контроллингом функций по управлению нештатными ситуациями позволяет повысить стабильность организации, обеспечить достижение следующих результатов:
— получение возможности оказания услуг высокого качества даже при возникновении существенных негативных воздействий;
— уменьшение продолжительности прерываний бизнес-процессов;
— уменьшение размера ущерба от прерывания бизнес-сервисов;
— сокращение времени обнаружения инцидента и принятия решения об активации плана обеспечения непрерывности деятельности;
— сокращение времени, требующегося для возвращения в штатный режим работы после выполнения плана обеспечения непрерывности деятельности;
— Укрепление репутации/бренда организации за счет минимизации последствий от наступления инцидентов;
— Сохранение ключевых активов и снижение зависимости организации от ключевых активов;
— Повышение инвестиционной привлекательности.