Хозяйственная деятельность коммерческих организаций постоянно подвергается испытаниям со стороны как внешних, так и внутренних факторов, связанных с неэффективностью, разрывами в бизнес-процессах, человеческим фактором и т.д. О том, как можно нивелировать эти факторы, построив систему управления рисками и непрерывности бизнес-процессов, рассказывает Георгий Адольф, директор по управлению рисками, внутреннему аудиту и внутреннему контролю, PepsiCo, Россия и СНГ.
Когда в компаниях хорошо выстроена система управления корпоративными рисками и аналогичная система по непрерывности бизнес-процессов или хозяйственной деятельности в целом, такие компании меньше всего подвержены внешним колебаниям, кризисы чаще воспринимаются как окно возможностей, внутренние вызовы улаживаются заблаговременно и даже если возникают, то разрешаются быстро и наиболее эффективным способом.
Планы непрерывности бизнеса необходимо разрабатывать до наступления кризисов
Тема разработки планов по непрерывности бизнес-процессов и кризисных планов (Business Continuity Plan — BCP, Crisis Management Plans — CMP) в последние годы, а особенно в последние три месяца пользуется большой популярностью, однако у каждого сотрудника компании остается свое понимание того, что это такое, какова важность всех этих мероприятий, а также как эти планы могут помочь бизнесу в целом.
На основе своего профессионального опыта работы в разных международных компаниях могу сказать, что все начинается с превентивного подхода, который спускается как пример сверху и задается на ежедневной основе со стороны акционеров, владельцев бизнеса, высшего руководства компании всей организации или холдингу. Без необходимого тона в подаче задач и внимания сверху, как бы хорошо ни был написан и продуман план, его исполнение, а также его постоянное обновление относительно реалий будет далеко от желаемого результата.
Многие понимают, что какой-нибудь «план Б» обязательно нужен организации, однако появляются внутренние противоречия, связанные с ежедневными меняющимися, более приоритетными, задачами, нехваткой времени на более стратегические и превентивные меры, такое встречается почти на ежедневной основе во многих организациях.
По своему предыдущему опыту могу сказать, что это достаточно сложная работа, когда сотрудникам, например, отдела управления рисками приходится выдергивать своих коллег из рутинных срочных дел, чтобы они уделили больше внимания созданию или обновлению реестра крупных рисков и последующему созданию планов непрерывности хозяйственной деятельности, основываясь на крупных рисках, причину наступления которых организация не может по определенным причинам снизить или полностью убрать. Вдобавок, как показывает практика, сотрудников отдела рисков, в зависимости от компании, обычно приходится по одному-два человека на всю страну, в которой ведется деятельность.
Еще один психологический аспект — это изначальная часто встречающаяся установка, когда сотрудники не всегда понимают необходимость делать что-то наперед, обосновывая это тем, что если что-то произойдет, тогда и будем разбираться. Слово «если» может обычно восприниматься как «скорее всего, не наступит». Поэтому можно об этом сейчас и не переживать.
Когда наступает кризис, в компании появляется элемент неразберихи. Становится непонятно, кто кому должен звонить, кто с кем взаимодействует по срочным и критичным вопросам и что делать, чтобы компания смогла продолжать хозяйственную деятельность. При этом забываются ранние попытки создания планов, создается много разных дублирующих кризисных комитетов, антикризисных групп и подгрупп, ежедневные звонки по одинаковой тематике, с большим количеством участников, бывает и так, что участники дублируют друг друга, и т.д. Да, конечно, со временем неразбериха уходит, структура управления кризисом становится на свои места эмпирическим путем, однако нужный момент и необходимые ресурсы могут быть упущены. Таким образом, вместо того чтобы идти по ранее созданному и проработанному плану с четко прописанными и понятными действиями, сотрудники сначала впадают в глубокую стадию кризиса из-за отсутствия слаженности действий на первых этапах, которые являются наиболее критичными или важными.
Без должного внимания со стороны руководства к таким вопросам, надлежащего тона сверху, отслеживания статуса дел по управлению корпоративными рисками и планов непрерывности деятельности, а также готовности компании к кризисным и чрезвычайным ситуациям, компания обречена на большие потери, приостановку деятельности, возможную потерю репутации во время наступления кризиса. При этом возвращение в нормальное русло операционной деятельности может стоить компании в разы больше затрат, чем при условии выполнения ранее подготовленных планов.
Что такое план непрерывности хозяйственной деятельности
Существуют стандарты по планам непрерывности хозяйственной деятельности, такие как ISO и BS, также есть и другие, однако понимание путей их внедрения происходит зачастую по-разному. Это продиктовано разным пониманием, адаптацией к определенным спецификам бизнеса и другими факторами.
В самом общем и простом варианте план по обеспечению непрерывности деятельности является одним из элементов системы управления непрерывностью хозяйственной деятельности организации. Например, существуют «план по быстрому реагированию в чрезвычайной ситуации» (Emergency Response Plan), кризисный план (Crisis Management Plan), план по восстановлению (Business (Disaster) Recovery Plan) и план по непрерывности деятельности (Business Continuity Plan). Представим это схематично (рисунок).
Компоненты системы управления непрерывностью хозяйственной деятельности организации (рисунок)
1 — Emergency Responsive Plan Фокус сохранности активов компании, включая сотрудников и третьих лиц на территории предприятия/организации
2 — Crisis Menegment & Crisis Communication Фокус в работе над ситуацией, выстраивание правильной коммуникации с кругом заинтересованных лиц
3 — Recovery Strategies Фокус на быстром восстановлении бизнеса/критических процессов, заданий и сооружений
Обратите внимание, что сам план по непрерывности на рисунке не указан, так как он идет сквозь все три элемента, указанные на графике до того момента, пока усилия по восстановлению не начнут снижаться и бизнес не начнет возвращаться в стадию нормального функционирования.
Таким образом, план по непрерывности бизнеса (Business Continuity Plan — BCP) — это, по сути, «план Б», запуск которого необходим на случай наступления негативного сценария, чтобы бизнес продолжал функционировать, пока определенные антикризисные команды занимаются работой над сложившейся ситуацией и восстанавливают нормальные условия функционирования предприятия/организации. Самый простой аналог BCP — это, например, большой рубильник, при нажатии которого мы получим альтернативную подачу электричества (допустим, от резервного питания) в случае его отключения от стандартного источника, тем самым продолжив работу на срок, необходимый до восстановления основной линии подачи электричества. То же самое можно отнести к бизнесу или критическим бизнес-процессам.
Компаниям также важно не забывать, что во время работы над случившейся кризисной ситуацией необходимо выделять ресурсы и людей из существующих команд для более детальной проработки плана возвращения на рынок с учетом взаимоотношений с клиентами после кризиса. Необходимо это сделать плавно и быстро, несмотря на потенциальную сильную конкуренцию, постараться не потерять свою долю, а возможно, и увеличить ее.
Как разработать план непрерывности для компании?
В этом нам поможет следующий алгоритм:
-
Задание сверху или сильная поддержка высшего руководства для выделения небольшой команды, которая будет помогать бизнесу создавать необходимый план, прорабатывать его по всем критически важным направлениям бизнеса, обновлять, ежегодно тестировать и т.д.
-
Оценка рисков и подготовка планов работы над ними для снижения степени возникновения и/или снижения масштаба бедствия от них.
-
Проведение анализа Business Impact:
-
идентификация процессов хозяйственной деятельности организации, которые необходимо поддерживать во время кризиса, чтобы они продолжали функционировать;
-
идентификация критически важных процессов, определение recovery time objective (время, за которое процесс должен восстановиться), recovery point objective (например, объем данных, который компания может позволить себе потерять);
-
определение необходимых ресурсов и заинтересованных лиц для быстрейшего восстановления бизнеса.
- Определение альтернативных мест, поставок, способов взаимодействия, формирование коммуникационного потока, планирование наличия необходимого оборудования и поддержка всех критически важных процессов «на плаву», пока восстанавливается бизнес.
На основе вышеуказанных шагов строится BCP. Очень важная часть в проработке BCP — это правильное определение круга заинтересованных лиц, которые должны быть в самой команде BCP, оповещены об альтернативном процессе или альтернативной операционной деятельности во время кризиса. Здесь может помочь простая, но очень наглядная карта заинтересованных лиц, в которой присутствуют поставщики, покупатели/потребители, сотрудники, общество, госорганы и госучреждения и многие другие. Данную карту можно детализировать и углублять, но она всегда должна быть перед глазами, чтобы правильно прорабатывать коммуникацию и соответствующие планы, не забыв ничего критически важного.
До недавнего времени многие компании в большей степени ориентировались на бизнес-риски, которые могут возникнуть с наибольшей вероятностью и с которыми мало что можно сделать с точки зрения уменьшения вероятности их возникновения. Внизу представим для примера небольшой список подобных рисков:
-
отключение подачи электроэнергии;
-
отключение обогрева производственных помещений в зимний период (например, отключение подачи газа);
-
наводнение;
-
пожар;
-
внезапный разрыв отношений с ключевым поставщиком/клиентом/дистрибьютором, от которого у компании сильная зависимость;
-
микробиологическое загрязнение производственных линий;
-
кибератака;
-
недоступность коммуникационных сетей;
-
недоступность ИТ;
-
землетрясение;
-
ураган;
-
саботаж;
-
терроризм;
-
пандемия.
Многие эти риски продиктованы для разных организацией их местоположением, а также обусловлены политической и экономической ситуацией в той стране, регионе или области, где они расположены.
Однако еще полгода назад мало кто мог представить, что риск массового заражения населения, включая сотрудников организаций, может иметь большую вероятность возникновения. Вследствие этого многие BCP не имели такого сценария развития событий, при котором этот план должен активироваться. Однако никогда не поздно что-то менять и улучшать.
Составные части и этапы плана по непрерывности бизнеса
В нашей компании существует очень сильная методологическая основа с хорошими тренингами по BCPM (Business Continuity Plans Management), которая регулируется глобальной командой безопасности. В рамках плана идентифицируются наиболее критические производственные площадки по всем странам присутствия компании и готовятся планы по кризисным мерам и мерам бесперебойного производства. Однако до недавнего времени планы, как выше упомянуто, по большей части основывались на сценарии (риске) пожара, взрыва и подобного рода чрезвычайных происшествий, при которых производственной площадки может не быть какое-то время вообще.
Не так давно отделом управления рисками в тесном сотрудничестве с отделом безопасности был запущен процесс по обновлению BCP для каждой критической площадки на уровне России с развертыванием на СНГ, используя подход bottom up, при котором детально обновляются и прорабатываются планы для критических площадок, затем данные планы развертываются для остальных площадок и затем идет процесс агрегирования и обновляются соответствующие планы на страну и кластер, например Россию и СНГ.
Зачем нам заново определять критические площадки, когда уже есть глобальный перечень? Очень просто: с точки зрения потребителя и покупателя на местном уровне мы ближе к ним, а также есть возможность проработать более оперативно сценарии включения BCP с наибольшей вероятностью возникновения, которые оценивают сами сотрудники площадки, знающие производственную реальность. Однако тесный и регулярный контакт с коллегами из штаб-квартиры остается, и мы их держим в курсе развития событий, чтобы в дальнейшем сообща работать вместе по нужным сценариям.
Например, для одних площадок наиболее вероятный сценарий может быть следующим: отключение газового отопления в зимний период, при котором может не только выйти из строя дорогое оборудование, но и испортиться сырье, продукция, затем сценарий отключения электричества и невозможности подключиться от другой подстанции. Также может быть реализован риск бактериологического загрязнения производственной линии, при котором производимая продукция может быть непригодной к потреблению, и т.д.
Создание BCP только по одному сценарию уже нерелевантно в наше время. В настоящий момент бизнес сталкивается с множеством вызовов, поэтому должно быть проработано как минимум три-пять сценариев, для того чтобы максимально обеспечить непрерывность производства.
При создании BCP важно отметить важные его составляющие, например:
-
зачем нужен этот план, какие сценарии он покрывает;
-
при каких условиях он будет работать;
-
в какой момент и при каких условиях он активируется;
-
какие у него предпосылки;
-
сам план (этапы действия при наступлении сценария);
-
когда и при каких условиях план завершает свое действие и бизнес возвращается к нормальному функционированию.
Самое главное — это BCP-команда, владелец плана (должен быть сотрудник из бизнеса) и четкое «дерево» коммуникаций.
Предпосылки очень важны для механики плана. В предпосылках перечислены результаты тех действий, которые должны проверяться, выполняться на регулярной основе, чтобы в случае наступления негативного сценария план успешно сработал. Например, если что-то происходит с офисом, то один из вариантов продолжать работу офисных сотрудников — это их перевод на работу из дома или из альтернативного места для удаленной работы. Так вот, предпосылками выполнения данного альтернативного действия будут служить регулярная проверка наличия и работоспособности средств связи удаленной работы для сотрудников или подписание/постоянная проверка действия договора аренды альтернативного здания/помещения, а также договоренностей с арендодателем и т.д. Без хорошо подготовленных и регулярно проверяемых и обновляемых деталей по предпосылкам план не сработает в таком виде, как он был изначально задуман.
Пример плана непрерывности бизнеса на практике
С начала этого года в BCP мы стали прописывать сценарий, относящийся к пандемии, как обязательный. Среди принимаемых мер по обеспечению непрерывности в качестве небольшого примера: сотрудники производственных площадок должны работать только в своей смене (не перемешиваться), носить соответствующие средства индивидуальной защиты (СИЗ), отменить командировки/перемещения между разными объектами, при входе на объект должна замеряться температура и т.д. Офисный персонал должен переместиться и работать из дома. Опять же заранее определяется количество критического персонала для поддержания бизнеса, которому необходимо работать из офиса или быть на производственной площадке, и поддерживающий персонал, который может работать из дома без посещения офиса или площадки.
Наша компания, на мой взгляд, была изначально хорошо подготовлена с технической точки зрения к такому варианту развития событий, так как уже давно была внедрена практика возможности для офисных сотрудников удаленной работы из дома один раз в неделю по согласованию с линейным руководителем и уже были проработанные четкие процедуры и процессы на производственных площадках. Люди привыкли к этому и были технически подготовлены к такой работе без потери качества и без проблем с потенциальной возможностью удаленной работы.
Что касается роли внутреннего аудита (ВА) и внутреннего контроля (ВК) — другие два направления, за которые я отвечаю, — то они видоизменились. Например, направление по ВА приостановило до конца кризисной ситуации все аудиты и переориентировалось на помощь бизнесу по улучшению антикризисных мер, эта помощь выражается в следующем:
-
улучшение планов по BCP;
-
активное участие в антикризисных мерах;
-
оценка того, что ничего не упущено с точки зрения контрольной среды и эффективности во время решения первоочередных задач на текущий момент.
Со стороны направления ВК большая часть ежеквартальной проверки контролей и другие активности переносятся в цифровой режим, также прорабатываются идеи расширения контролей, основанных на роботах (RPA) и аналитике (Data Analytics).
Текущий кризис позволяет нам посмотреть на текущее состояние бизнеса более ясным взглядом, понять, какие процессы в компании требуют большей автоматизации и роботизации, чтобы работу можно было выполнять по максимуму без присутствия в офисе, без бумажных носителей, без физического подписания документов и т.д. В то время, когда экономическая ситуация была стабильна, было сложно «продавать» идеи внедрения крупных автоматизированных систем, например, по документообороту, по внедрению единой ERP-системы, покрывающей не только финансовые модули, но также модули по управлению складами, имеющие CRM и SRM-элементы/процессы, HR-процессы, модули по аналитике данных, помогающей процессам ВК, комплаенса, безопасности. Все эти системы очень полезны для принятия быстрых и более верных управленческих решений, полезны для оптимизации бизнеса, однако стоимость таких систем велика, также и внедрение может стоить достаточно дорого, период окупаемости может быть длительным, а прибыльность порой даже сложно посчитать. Но, как мы теперь уже понимаем, чем больше хозяйственных процессов (включая процессы, отвечающие за взаимодействия с поставщиками, клиентами и другими сторонами из круга заинтересованных лиц, а также представителей госорганов) автоматизировано и оцифровано, тем компания будет менее подвержена подобным негативным сценариям, а эффективность бизнеса только возрастет, позволяя управленцам сосредоточиться на дальнейших улучшениях в основных звеньях хозяйственной деятельности, таких как производство, логистика, продажи.
Необходима интеграция превентивного подхода в бизнес
В завершение хочу отметить, что очень важно для управленческого персонала прививать коллективу риск-ориентированный подход к ведению бизнеса.
Ежедневные рутинные или циклические задачи всегда будут стоять на повестке дня, однако не стоит забывать о планах по управлению корпоративными рисками, планах непрерывности деятельности и кризисных планах. Фокус в организации на риск-ориентированный подход и его интеграция в каждом процессе очень сильно зависит от того, какой тон задает сверху высшее руководство. Необходимо выделять на это ресурсы и всегда помнить, что затраты на превентивные мероприятия всегда дешевле, чем затраты на мероприятия по борьбе с реализовавшимся кризисом.