Кризис-менеджмент: современное понимание
В современном бизнесе существенную роль играют понятия «риск-менеджмента» и «кризис-менеджмента».
В условиях интенсификации бизнеса и расширения спектра угроз экономической, физической и информационной безопасности перед руководством компаний стоят задачи недопущения сбоев и аварий, повышения надежности поставок ресурсов и продукции, а в критических случаях – минимизации простоев, финансовых и репутационных потерь.
В США и Западной Европе риск-менеджмент и кризис-менеджмент активно внедряются как в государственных, так и в коммерческих структурах. Более того, компании, осуществляющие кризис-менеджмент на необходимом уровне, получают определенные льготы со стороны государства и дополнительные скидки при страховании. Внедрение кризис-менеджмента часто является обязательным условием перед подготовкой SLA (Service Level Agreement) – документа гарантирующего клиенту стабильность поставок товаров и услуг.
Согласно многочисленным опросам, кризис-менеджмент получил наибольшее распространение в сферах телекоммуникаций, информатизации, логистики и финансов. Почему? У этих областей деятельности есть общая черта – ориентированность на потоки ресурсов. Сбой в работе любого узла таких компаний зачастую приводит к полной остановке деятельности, косвенные убытки от неблагоприятного события часто превышают прямые.
В нашей стране для многих риск-менеджмент и кризис-менеджмент – пока еще малознакомые словосочетания. Распространено мнение, что управление рисками ограничивается страхованием, а кризис-менеджмент ассоциируется прежде всего с финансовой несостоятельностью.
На самом деле, риск-менеджмент – это система, которая охватывает все аспекты деятельности предприятия и использует различные методы управления рисками, которые можно свести к трем основным категориям (подходам):
- Финансирование риска, а именно: страхование, создание финансовых резервов и т.п.
- Снижение вероятности реализации рисков (ограничение, контроль и передача рисков), например совершенствование технологий и бизнес-процессов, повышение надежности оборудования, обучение персонала.
- Смягчение последствий реализации рисков, или кризис-менеджмент, т.е. комплекс мероприятий, направленных на сокращение потерь/убытков в результате наступления неблагоприятных событий любого рода.
Принципы кризис-менеджмента применяются уже давно. Так, регламенты работы опасных производств, планы действий в случае пожара и т.п. распространены повсеместно и, в ряде случаев, их необходимость закреплена законодательством. На государственном уровне принципы кризис-менеджмента заложены в планы на случай чрезвычайных ситуаций (например, войны). Поэтому у многих сложилось мнение, что проблема внедрения кризис-менеджмента неактуальна. Однако современный кризис-менеджмент обеспечивает комплексный подход к проблеме: если изначально основной целью было спасение жизни людей, окружающей среды, или защиты государственных интересов, то со временем получили распространение также задачи обеспечения интересов бизнеса. Много ли мы знаем компаний в России, которые застраховались от перерыва деятельности? Немного, и в основном это компании с иностранным акционерным капиталом. А ведь страхование – это самый простой способ снизить свои риски.
Кризис-менеджмент в комплексе методов управления рисками
Риск-менеджмент эффективен лишь при комплексном применении трех перечисленных подходов – контроля, финансирования рисков и смягчения их последствий. Так, кризис-менеджмент, как и страхование, ставит своей целью снижение последствий кризиса, а не исключение его причин. С другой стороны, ни страхование, ни полный комплекс инструментов ограничения и финансирования рисков не могут покрыть все возможные убытки в случае реализации рисков.
Кризис-менеджмент реализуется через два основных механизма:
- обеспечение готовности к неблагоприятным событиям и
- реализация комплекса мер, направленных на снижение последствий уже наступившей кризисной ситуации.
Основным инструментом кризис-менеджмента является документ под названием План непрерывности деятельности (английская аббревиатура BPC – Business Continuity Planning). BCP регламентирует действия персонала в случае возникновения неблагоприятного события, направляет его усилия на минимизацию негативных последствий, ускорение восстановления работоспособности и снижение убытков.
Фактически, разработка такого плана является подготовкой к возможному кризису. Внедрение плана может потребовать подготовки резервных элементов ведения бизнеса, аварийных режимов работы оборудования и т.п., а также – дополнительной подготовки персонала.
В зависимости от величины и спектра направлений деятельности организации, кризисное планирование может осуществляться на общем уровне, либо, что более характерно, в разрезе бизнес-единиц. Технически при этом возможны варианты разработки планов "сверху вниз", т.е. от общего профиля рисков организации к рискам отдельных подразделений и процессов, и "снизу вверх", на основе агрегирования рисков отдельных бизнес-единиц.
Соответственно, работа по реализации кризис-менеджмента разбивается на следующие основные этапы:
1. Анализ компании с точки зрения подверженности рискам
- Классификация бизнес-единиц компании
- Описание ключевых функций и бизнес-процессов
- Описание профиля рисков по компании в целом и в разрезе бизнес-единиц
- Оценка возможных последствий наступления рисковых событий (остановка/сокращение деятельности, снижение эффективности, потеря деловой репутации, претензии третьих лиц и т.д.), в т.ч. - с количественными оценками потерь.
2. Разработка нормативно-методологической базы кризис-менеджмента, в т.ч.:
- Методики оценки стоимости активов компании
- Методики оценки угроз и уязвимостей, описания сценариев кризиса
- Методики оценки ущерба в случае кризиса
- Регламента разработки, утверждения и внедрения планов непрерывности
- Регламента поддержки планов непрерывности
3. Разработка ВСP по бизнес-единицам и для компании в целом
4. Внедрение и поддержка плана непрерывности
- Закупка и внедрение необходимых инструментальных средств
- Обучение сотрудников
- Проведение контрольных тестов планов непрерывности
- Регулярная актуализация BCP
Важным элементом ВСР является координация одновременных действий как внутри компании (и в т.ч. на стыке полномочий различных бизнес-единиц), так и, в случае необходимости, во взаимодействии со внешними контрагентами - с государственными регулирующими и правоохранительными органами, средствами массовой информации, клиентами, инвесторами акционерами и т.п.
Соответственно, в ряде случаев план непрерывности бизнеса должен предусматривать привлечение третьих лиц для урегулирования специфических кризисных ситуаций, с которыми компания не может справиться самостоятельно. Это могут быть, например, агентства по связям с общественностью для обеспечения контр-мер против негативной публичной информации, эксперты по оценке ущерба для решения проблем с пострадавшими в досудебном порядке, независимые эксперты по кризис-менеджменту для общей координации работ по минимизации последствий кризиса. В ряде случаев расходы на привлечение таких организаций могут быть застрахованы.
Спектр рисков, охватываемых ВСР
Эффективность BCP может быть обеспечена только при полном охвате всего спектра рисков. Концентрация на одном виде рисков аналогична заучиванию только одного экзаменационного билета.
Для описания рисков удобно использовать классификацию по их источникам. Такой подход применим для любой компании независимо от направления ее деятельности. Ниже в качестве примера приведен перечень операционных рисков, которые могут рассматриваться в составе плана непрерывности бизнеса (на основе классификации операционных рисков, рекомендуемой Базельским комитетом по банковскому надзору):
Вид риска
|
Определение
|
Подвиды рисков
|
Внутреннее мошенничество
|
Убытки, связанные с мошенническими действиями, хищением имущества или умышленными нарушениями/попытками нарушения законов, нормативных актов, внутренних инструкций, которые совершены при участии сотрудников.
|
1. Несанкционированная деятельность, связанная с превышением лимитов, совершением операций с превышением или в отсутствие полномочий, преднамеренной неверной оценкой позиций.
2. Хищения, мошенничество, действия по преднамеренному нанесению ущерба организации со стороны сотрудников
|
Внешнее мошенничество
|
Убытки, связанные с мошенническими действиями, хищением имущества или умышленными нарушениями/попытками нарушения законов или нормативных актов, которые совершены третьими лицами.
|
1. Хищения и мошенничество
2. Нарушение безопасности технологических (информационных) систем, включая риски взлома и утраты информации.
|
Управление персоналом
|
Убытки, связанные с нарушениями трудового законодательства, включая законодательство об охране труда, трудовых соглашений, а также связанные с причинением вреда жизни и здоровью сотрудников, либо различными формами дискриминации.
|
1. Трудовые споры, связанные с вопросами материального вознаграждения, приема и увольнения сотрудников.
2. Ненадлежащие условия работы, в том числе нарушение норм охраны труда, причинение вреда жизни и здоровью сотрудников и третьих лиц, включая профессиональные заболевания.
3. Дискриминация
|
Клиенты, продукты и деловая практика
|
Убытки, вызванные непреднамеренными или неосторожными действиями, которые привели к невыполнению профессиональных обязательств перед клиентами либо же вызванные недостатками в продуктах/предоставляемых услугах.
|
1. Невыполнение требований по раскрытию информации, предъявление претензий со стороны клиентов и третьих лиц в связи с оказываемыми услугами.
2. Ненадлежащая деловая практика, связанная с нарушением антимонопольного законодательства, законодательства, регулирующего рынок ценных бумаг, а также законодательства о противодействии отмыванию средств, полученных преступным путем.
3. Недостатки продуктов/услуг, связанные с ошибками, допущенными при их разработке.
4. Неверная оценка клиента или определение лимитов на клиента.
|
Причинение ущерба материальным активам
|
Убытки, связанные с утратой или нанесением ущерба материальным активам вследствие стихийных бедствий или других внешних событий
|
Стихийные бедствия, потеря сотрудников по внешним причинам, включая терроризм.
|
Приостановка бизнеса и отказы систем
|
Убытки, вызванные приостановкой работы или отказами систем
|
Отказы внутренних технологических систем, включая компьютерные и телекоммуникационные системы, системы энерго-, теплоснабжения, логистики и пр.
|
Исполнение и обработка операций, управление процессами
|
Убытки, вызванные сбоями и ошибками при обработке операций или управлении процессами
|
1. Сбои и ошибки при обработке транзакций, включая ошибки при вводе и/или обработке данных, неверную интерпретацию инструкций или несоблюдение сроков обработки транзакций/исполнения условий сделок.
2. Мониторинг и отчетность, включая нарушение требований по срокам, объемам подачи обязательной отчетности или ошибки в отчетности.
3. Ошибки и недочеты при подготовке клиентской документации
4. Убытки, связанные с невыполнением обязательств со стороны внешних контрагентов по торговым сделкам (депозитариев, регистраторов, торговых систем и пр.)
5. Убытки. связанные с поставщиками и подрядчиками, выполняющими аутсорсинговые и другие функции.
|
Следует отметить, что перечень ситуаций, которые являются предметом анализа BCP, шире операционных рисков и может включать в себя различные бизнес-риски, в том числе:
- ухудшение финансового состояния компании;
- негативная публичная информация о компании, появившаяся в прессе;
- попытка недружественного поглощения;
- утрата ключевых сотрудников (например, смерть или нетрудоспособность руководителя компании);
- колебание курсов акций компании.
Все эти ситуации также могут рассматриваться как потенциально кризисные, т.е. могут спровоцировать негативный сценарий развития события: отток клиентов, потерю рынка и другие неблагоприятные последствия.
Несколько полезных советов
1. Не стоит пренебрегать общественным мнением
Опросы сотрудников и руководителей основных подразделений могут помочь избежать ошибок в расстановке приоритетов по непрерывности бизнеса и порядке проведения восстановительных мероприятий.
Достаточно эффективным является вариант создания плана на базе комитета (экспертного совета), в котором должны быть представлены все ключевые подразделения.
2. Не стоит опираться на предыдущий, а тем более чужой опыт
Самый простой способ написать план непрерывности бизнеса – это списать его у другой компании. Такой подход верен только в одном случае – если Ваша компания полностью идентична оригиналу по своей структуре и условиям деятельности.
Также не стоит также брать за основу и свой предыдущий опыт преодоления кризисов: Вы залатаете одни дыры, и не обратите внимания на другие.
При построении плана нужно учитывать текущий профиль рисков Вашей компании, необходимо регулярно обновлять планы, проводить аудит и тестирование плана на предмет его актуальности.
3. Опасно рассчитывать на отдельных "ключевых" сотрудников
Планы должны быть составлены таким образом, чтобы любой сотрудник, ознакомившись с ними, мог выполнить поставленные задачи. Случается, что ключевые сотрудники уходят из компании, либо во время кризиса отсутствуют на своем рабочем месте.
Также не стоит забывать об обучении и о регулярных проверках готовности сотрудников к кризисам.
4. План – это руководство к действию, а не пошаговая инструкция
При написании плана не стоит увлекаться деталями: возрастут затраты на написание и изучение документа, а также увеличится вероятность отклонения реальной внештатной ситуации от предусмотренных документом параметров.
Кроме того, детализированный план действий ограничивает творческий подход к решению проблемы.
5. Важно отразить "кризисные" полномочия по принятию решений
При разработке плана следует внимательно относиться к вопросам разграничения функций и ответственности. Дело в том, что зачастую руководители низшего звена не решаются приступать к антикризисным действиям без согласования с высшим руководством, в результате чего теряется драгоценное время.
Кроме того, важным моментом при восстановлении бизнеса является координация различных подразделений, особенно в случае нестандартных ситуаций на "смежных" участках.
Выводы
В заключении стоит отметить основные преимущества кризис-менеджмента:
- возможность, в ряде случаев, предотвращения неблагоприятных событий;
- возможность более быстрого и эффективного восстановление бизнеса в чрезвычайных ситуациях;
- вывод бизнеса на более качественный уровень менеджмента;
- удовлетворение потребностей клиентов в части надежности поставок;
- уменьшение стоимости страхования основных рисков, а также возможность застраховать расходы на ликвидацию последствий неблагоприятных событий;
- стабильность деятельности и развития, в чем заинтересованы руководство и акционеры компании.
Однако, у кризис-менеджмента есть и недостатки, в значительной мере замедляющие его распространение:
- трудоемкость подготовки и сопровождения планов;
- сложности в оценке эффективности инвестиций в BCP – затраты не дают прямой отдачи;
- отсутствие универсальных готовых решений – в каждом конкретном случае план непрерывности бизнеса является индивидуальным продуктом, учитывающим специфику компании;
- сложность с полнотой кризисных сценариев – часто невозможно заранее предвидеть все неблагоприятные ситуации. Здесь важно последовательное совершенствование планов непрерывности и управления кризисами: чем раньше в компании начата такая работа, тем более качественный план она имеет на сегодняшний день.
Несмотря на трудности, практика применения BCP постоянно расширяется, потому что это выбор любой компании, которая хочет с уверенностью смотреть в будущее. Вложения в кризис-менеджмент дают одно неоспоримое преимущество: возможность уверенно развиваться, в то время как другие будут бороться с кризисами.