Управление непрерывностью бизнеса и управление операционными рисками. Где курица и где яйцо?

В настоящем обзоре представлен анализ взаимосвязи процессов управления непрерывностью бизнеса и управления рисками, выполненный извест­ными специалистами в данной предметной области.

Jet Info №7

Автор: Б. Альтерман

Здравый смысл – это интуитивное чувство истины
(Макс Жакоб)

Сэр Уинстон Черчилль однажды охарактеризовал Британию и Америку, как: «две нации, разделенные общим языком». Эта старая шутка довольно хорошо работает для дисциплин управления непрерывностью бизнеса и управления рисками. Обе эти дисциплины адресованы к одним и тем же проблемам, имеют одни цели и используют единую терминологию, при этом временами демонстрируя недопонимание друг друга. Риск-менеджеры пытаются учесть все типы рисков, стремятся оценить как величину ущерба, так и вероятность наступления ЧС, и затем определяют риск, как линейную функцию этих двух величин. 
Специалисты по непрерывности бизнеса всегда обращают значительно большее внимание на последствия, т.е. на ущерб, который является результатом реализации ЧС. В случаях, когда возможен очень большой ущерб, бессмысленно для определения бюджета защитных мероприятий перемножать очень большую стоимость ущерба на очень малую вероятность наступления события. Получится «средняя температура по больнице», не отражающая реальное положение вещей.

Опубликованный «BSI Business Continuity Code of practice, 25999», рассматривает систему управления непрерывностью бизнеса (ВСМ) как дисциплину, дополняющую систему взглядов управления рисками (RM). ВСМ определяет риски и управляет их последствиями для бизнеса или для отдельных процессов организации. При этом, организация определяет меры, необходимые для защиты людей, помещений, производственных технологий, ИТ-инфраструктуры, цепочек поставок, интересов акционеров и репутации. На основе этой информации формируются планы действий в соответствующих обстоятельствах.

На сегодняшний день сосуществуют три точки зрения, являющиеся причиной разногласий между специалистами по непрерывности бизнеса и управлению рисками:

1. процессы управления непрерывностью бизнеса и рисками тесно взаимоувязаны «на равных»;
2. жестко связаны, при этом непрерывность – компонента риска;
3. взаимосвязаны, но сосуществуют без какой – либо иерархии между ними. 

Управление рисками – хорошо укоренившаяся и понимаемая составная часть бизнес-процесса организации. В эту функциональность с трудом интегрируются современные технологии управления непрерывностью бизнеса по причине не столько реальной сложности, сколько проблемами восприятия и противодействия нововведениям. Специалисты, имеющие опыт работы с управлением рисками, имели дело с предшест­венниками современных методологий управления непрерывностью бизнеса, аварийного восстановления, кризисного управления и т.д., интерпретируя их, как реакцию на конкретные риски. При такой точке зрения ВСМ рассматривается как подмножество RM, точнее как одну из компонент  RM. По сути это означает восприятие ВСМ как вновь изобретенного преемника аварийного восстановления (Disaster recovery), что неверно.

На самом деле управление непрерывностью бизнеса интегрирует в себе: планирование действий в чрезвычайных ситуациях (emergency planning), кризисное управление (crisis management), планирование аварийного восстановление (disaster recovery planning), мероприятия по защите здоровья и безопасности персонала…. Такой набор процессов вполне можно интерпретировать как отдельный процесс управления рисками!  

Если не привязываться к опыту специалистов по управлению рисками, анализируя функциональность процессов, можно придти к выводу, что речь идет о двух самостоятельных процессах: управление непрерывностью бизнеса и управление рисками. Ключевой вопрос: почему мы должны управлять рисками?  Риторический ответ – для того, чтобы обеспечить непрерывность бизнеса! Этот довод является ключевым аргументом для позиционирования RM как компоненту BCM и в этом есть здравый смысл. Как бы то ни было, одним из первых шагов программы ВСМ является оценка рисков. Однако в этой аргументации существует серьезный изъян.
Управление рисками в большинстве организаций можно разделить на две части, связанные с двумя категориями рисков. Например, обеспечение возврата долгов по кредитам –  предмет управления рисками банков. Защита непрерывности этого бизнес-процесса, также содержащая компоненты управления рисками, является частью общего управления непрерывностью бизнеса организации. Таким образом, управление рисками может быть как составной частью всеобъемлющих (end-to-end) бизнес-процессов, так и ключевой функцией обработки угроз выполнения самого ВСМ процесса, и тогда эти две функциональности RM взаимосвязаны, но существуют отдельно, без какой-либо иерархии между ними. Рассмотрим в качестве примера хеджирование обменного курса. Эта функция – часть бизнеса организации и имеет мало общего с управлением непрерывностью бизнеса. Эта функция сама по себе – управление рисками бизнеса.

Непрерывность бизнеса в данном случае заключается в способности без сбоев выполнять процесс хеджирования обменного курса. Этот процесс в условиях угроз подвержен различным рискам, т.е. необходимо управление рисками.         

Из сказанного следует, что риски имуществу, людям и вообще любым ресурсам, на которых базируется бизнес, четко ассоциируется с управлением непрерывностью бизнеса и, соответственно,  управлением этими рисками – подмножество ВСМ. Это управление не включает риски капитализации бизнеса, хеджирование и другие аналогичные функции.

Существует ошибочное мнение, что раз уж в организации поддерживаются оба эти процесса, не имеет значения, как позиционировать между собой RM и BCM. Такой подход может очень негативно отразиться на деятельности организации. Речь идет о корректном позиционировании сущности и важности этих функций в организации.  Например, невозможно представить программу управления непрерывностью сложного бизнеса,  ответственность за выполнение которой возложена на административно-хозяйственный отдел.

Резюмируя, приходим к следующим выводам:

1. Процесс управления непрерывностью бизнеса не должен подчиняться управлению рисками.
2. Функциональность RM является компонентой ВСМ.
3. Существует отдельный процесс управления рисками (операционными и стратегическими),  влияющий на бизнес организации.

Любое другое распределение зон ответственности между ВСМ и RM каждая организация выбирает для себя сама, исходя из здравого смысла и опыта.

Литература:

1. Andrew McCrackan – Is Business Continuity a Subset of Risk Management
2. Julia Graham – Business Continuity and Risk Management are Interwinded
3. Lyndon Bird – Business Continuity & Risk Management – two sides of the same coin