Несмотря на отсутствие государственного регулирования, узаконенных стандартов управления рисками, неразвитость форм и способов управления разработка программ, призванных обеспечить устойчивость предприятий к чрезвычайным и катастрофическим событиям, приоб
Известно, что успешная работа предприятия в значительной степени зависит от искусства управления в условиях неопределенности, от того, насколько устойчиво предприятие в нештатных ситуациях. Например, в нестабильной ситуации баланс между доходностью и риском, как правило, обеспечивается за счет высокой ликвидности активов и краткосрочного планирования. Защита бизнеса при этом практически сводится к управлению ликвидностью. По мере стабилизации макроэкономической и политической обстановки расширяются горизонты планирования, ассортимент используемых финансовых инструментов, активов. Вместе с этим возрастает вероятность негативного воздействия на осуществляемые бизнес-проекты, а значит — и необходимость их защиты от возможных угроз или чрезвычайных событий.
Для повышения сопротивляемости предприятия, придания устойчивости к воздействию прерывателей бизнеса британское профессиональное сообщество выработало стандарт BS 25999 (Business continuity management), регламентирующий постоянную (непрерывную) работу менеджмента по обеспечению бесперебойного функционирования организации. Данный стандарт является расширением стандартов управления рисками предприятия. Тогда как системы управления рисками обеспечивают предприятию баланс доходности и риска (стандарт COSO-ERM), максимизируют доходность (стандарт RMS) или минимальный регуляторный капитал (стандарт Basel-II), стандарт BS 25999 направлен на достижение заданного уровня толерантности предприятия к прерывателям бизнеса. Целью этого стандарта является спецификация требований к программе, обеспечивающей выпуск предприятием ключевых продуктов и предоставление услуг на заданном уровне производительности и в течение оговоренного времени, при воздействии на предприятие чрезвычайного события. Управление бесперебойностью бизнеса согласно стандарту BS 25999 — это совокупность стратегических и операционных процессов, направленных на управление прерывателями бизнеса и защиту людей, рабочих помещений, технологий, информации, вкладчиков и, в конечном счете, деловой репутации и торговой марки предприятия.
Итогом внедрения процессов бесперебойности бизнеса на предприятии является выверенный, апробированный и актуальный план, содержащий программу действий команды антикризисного управления для различных сценариев воздействия прерывателей бизнеса. Система управления бесперебойностью бизнеса внедряется на предприятии сначала как проект с четко очерченными целями. Однако для поддержания системы в актуальном состоянии и ее развития требуется определенная корпоративная культура и зрелые способы управления предприятием.
В России о защите бизнеса в чрезвычайной ситуации неоднократно говорилось за последние шесть лет, однако только сейчас, в условиях стабильности, интерес российских компаний в этой сфере приобретает практический характер. Следует отметить, что процесс развивается не благодаря, а вопреки желанию руководителей и собственников предприятий и не в соответствии с политикой государства, а как ответ на вызовы рынка и необходимость интеграции российского бизнеса с международными производственными структурами. Адаптации и внедрению международных стандартов бесперебойности бизнеса мешают: отсутствие государственного регулирования, отсутствие стандартов управления рисками, неразвитость производственных отношений, низкая культура управления предприятием.
Государство и бизнес
Защита бизнеса как взаимосвязанной совокупности людей, технологий и средств производства в чрезвычайных ситуациях является делом не только руководства и собственников предприятия. В случае банкротства или разрушения предприятия пострадавшими являются его сотрудники, клиенты, акционеры, контрагенты или партнеры. Поэтому во всех развитых странах установлена персональная имущественная и уголовная ответственность руководства предприятия и его собственников за обеспечение бесперебойности бизнеса и недоведение его до банкротства. К примеру, в Соединенных Штатах в 2002 году принят закон (закон Сарбейнса — Оксли), теперь уже направленный на защиту инвесторов от нечестного руководства. Он возлагает на руководство предприятий ответственность за построение системы внутреннего контроля, поддержание ее работы, регулярную оценку, эффективную финансовую отчетность и подтверждение внутренней оценки качества системы путем внешнего аудита. Закон носит ограничительно-предупредительный характер и усиливает уголовную ответственность руководства предприятия, определяемую законами, регулирующими способ и форму деятельности предприятия, при которой обеспечивается защита интересов акционеров и сотрудников.
Что касается России, то регулятивная функция государства в этой области сводится к гражданской обороне, сохранению жизни и поддержанию здоровья пострадавших в чрезвычайных ситуациях. При этом под чрезвычайными ситуациями в терминах ГОСТ Р 22.0.02-94 «Безопасность в чрезвычайных ситуациях. Термины и определения основных понятий» понимается «обстановка на определенной территории или акватории, сложившаяся в результате аварии, опасного природного явления, катастрофы, стихийного или иного бедствия, которые могут повлечь или повлекли за собой человеческие жертвы, ущерб здоровью людей или окружающей природной среде, значительные материальные потери и нарушение условий жизнедеятельности людей». В соответствии с этим определением контролирующая функция государства сводится к регулярным проверкам противопожарной и санитарно-эпидемиологической безопасности. На предприятиях, расположенных в современных деловых центрах, по инициативе арендодателя периодически проводятся пожарные тревоги, объявляемые для «галочки» и воспринимаемые индифферентными сотрудниками как еще один официальный повод оторваться от своих рабочих мест. Высшее руководство предприятия участия в таких учениях обычно не принимает.
Справедливости ради следует отметить, что в 2003 году российские законодатели озаботились проблемой умышленных и неумышленных банкротств — но только в кредитных организациях. Причем причины банкротства сформулированы своеобразно: «… решения, указания, сделки или иные действия руководителя кредитной организации вопреки интересам кредитной организации считаются вызвавшими ее банкротство, если обратное не доказано...» Каковы интересы кредитной организации? Ответственно ли руководство за банкротство, если интересы кредитной организации не сформулированы или сформулированы в пользу руководства? Данный закон ни разу не применялся, более того, в нынешней редакции этот закон не представляет какой-либо значимой персональной угрозы руководству или собственнику и не является стимулом для развития средств обеспечения бесперебойности бизнеса. Причина — общая незрелость государственного регулирования, вызванная умышленным или неумышленным непрофессионализмом законодательной власти страны и слабостью исполнительной власти. А пока декларирование демократических принципов развития России в меньшей мере связывается с защитой интересов трудового населения и в большей мере отражает интересы работодателей, которые до сих пор не были заинтересованы в том, чтобы инвестировать средства в обеспечение бесперебойности своего бизнеса и защиты интересов своих сотрудников и акционеров.
Впрочем, не все так безнадежно. Стимул обеспечивать бесперебойность бизнеса у российских собственников предприятий есть. Необходимость привлекать инвестиции вынуждает все большее число российских компаний выходить на иностранные биржи. Их правила листинга устанавливают необходимость риск-менеджмента, внутреннего аудита и раскрытия информации об их функционировании на предприятии, а, следовательно, и реализации системы мер по обеспечению бесперебойности бизнеса. Большинство российских компаний предпочитают привлекать средства акционеров на Лондонской бирже, где требуется менее детальное раскрытие информации и накладываются менее жесткие ограничения, чем на американских рынках ценных бумаг. И это невзирая на то, что любое IPO несет дополнительный риск для компаний, поскольку они, размещая свои акции на иностранных биржах, попадают в иное правовое и культурное поле, с ранее неизвестными рисками, в частности, ответственностью руководителей. По европейским и североамериканским законам акционер может подать иск не только на компанию, но и непосредственно на ее топ-менеджера, если считает, что его действия, пусть и законные, привели к тому, что акционер недополучил ожидаемый доход от приобретенных акций. В России подобное просто трудно представить.
Нестандартные стандарты
В настоящее время мировое сообщество разработало более десятка различных стандартов, регламентирующих разработку и внедрение процессов управления безопасностью и частично бесперебойностью бизнеса для различных отраслей экономики. Наиболее специализированным и полным из них является упоминавшийся в начале статьи британский стандарт BS 25999. Хочется надеяться, что перевод данного стандарта на русский язык будет способствовать появлению российского аналога этого стандарта. Его отсутствие продолжает порождать трудности как в коммуникации между специалистами, так и в понимании руководством предприятий целей внедрения планов по обеспечению бесперебойности бизнеса.
Сложности формирования отечественного стандарта объясняются следующими факторами:
-
трудность формальной декомпозиции процесса управления рисками и интеграции его элементов в бизнес-процессы организации;
-
недостаточность и неконкретность российского законодательства в части управления рисками;
-
отсутствие накопленных статистических данных для проведения количественных оценок.
Сложность адаптации международных стандартов, регламентирующих процессы управления рисками, объясняется прежде всего их тесной связанностью с критическими процессами функционирования компании, необходимостью создать интегрированную систему оценки всех рисков предприятия.
Приведем несколько примеров. Начнем с базового понятия «риск». Наиболее часто риск трактуется как возможность, опасность или угроза и, наконец, как неопределенность. Трактовка риска как возможности наиболее часто используется специалистами инвестиционного бизнеса для указания взаимосвязи между риском и доходностью. Риск как неопределенность связан с оценкой возможных исходов вероятностных событий — как позитивных, так и негативных. С этой точки зрения риск-менеджмент направлен на уменьшение отклонения действительных результатов (фактов) от ожидаемых исходов (планов). Риск как опасность или угроза — наиболее часто употребляемая интерпретация. При такой трактовке риск-менеджмент направлен на уменьшение вероятности наступления нежелательных событий. Наиболее приемлема данная концепция для специалистов в области информационной безопасности и обеспечения бесперебойности бизнеса. Путаница в трактовке основного понятия и его неоднозначность порождают неразбериху в производных рабочих понятиях и представлениях, из-за чего специалисты перестают понимать друг друга.
Другой пример относится непосредственно к понятию «бесперебойность бизнеса». Наиболее часто используемый для него термин — это «непрерывность» бизнеса. Очевидно, что непрерывность как математическое понятие неприменима к понятию бизнеса. Бизнес не только прерывен, но и развивается волнообразно. В нормальных условиях продуктивность предприятия скачкообразно изменяется относительно некоторого среднего значения, характерного для заданного уровня операционных потерь. Можно считать, что эти отклонения вызваны постоянным воздействием внешних и внутренних факторов риска, присущих среде, в которой функционирует предприятие. Как только отклонение превысит некоторое граничное значение, такое колебание становится объектом системы управления рисками. Однако в ней не все отклонения можно регулировать. Есть события, прерыватели бизнеса, чье негативное воздействие на продуктивность проявляется в форме перебоя, то есть падения продуктивности ниже предельно допустимого уровня стабильного функционирования предприятия в целом. Такое воздействие не может быть компенсировано простой корректировкой системы управления рисками. Эти события, не будучи идентифицированы и «перехвачены», могут привести к кризису в производстве продуктов и услуг предприятия, с риском прекращения его существования. Понятие business continuity management, изначально означавшее управление способностью предприятия производить ключевые продукты и услуги на заданном уровне производительности и в течение оговоренного времени при воздействии на него чрезвычайного события, или управление бесперебойностью, с подачи не вникнувшего в суть переводчика превратилось в бессмысленный набор слов.
В большинстве случаев компании интуитивно идентифицируют несколько информационных систем и разрабатывают инструкции по восстановлению их работоспособности. Мало кто отталкивается от анализа рисков, влияющих на бизнес компании и оценки ущерба. В целом причиной этого также является отсутствие в нашей стране соответствующих нормативных документов и руководств.
На фоне большого числа провалов проектов внедрения ITIL/ITSM ожидается издание российского стандарта ГОСТ Р ИСО/МЭК 20000 «Информационная технология. Управление услугами», в котором изложены требования по управлению бесперебойностью предоставления ИТ-услуг. Отмечу, что системы обеспечения бесперебойности бизнеса — это не системы высокой доступности или готовности, их функции не сводятся к восстановлению информации после катастрофических воздействий Кроме того, процессы предоставления ИТ-услуг и управления ими — лишь часть бизнес-процессов, порой не самая критичная для предприятия.
Незрелость деловых отношений
Практическое отсутствие ответственности перед государством и низкие требования к качеству продуктов и услуг есть отражение неразвитости деловых отношений. Угрозы бизнесу со стороны партнеров (конкурентов) существовали и существуют, но этот факт не стимулирует руководство российских предприятия инвестировать средства в обеспечение бесперебойности вверенного им бизнеса. И это притом, что производственные отношения в России построены отнюдь не на взаимном доверии. К примеру, недавний кризис в банковском секторе был вызван прежде всего взаимным недоверием руководителей банков друг к другу, жертвами его, разумеется, стали вкладчики, а в выигрыше остались иностранные банки.
Неразвитость производственных отношений проявляется в том, что руководители российских предприятий недооценивают значимость защищенного бизнеса, не понимают или не хотят понять, что инвестиции в обеспечение бесперебойности бизнеса снижают не только их риски, но и риски партнеров и клиентов предприятия. И, следовательно, повышают эффективность сотрудничества и привлекательность предприятия в восприятии акционеров и заказчиков, делая их бизнес еще более устойчивым к чрезвычайным событиям. Это можно объяснить только общей низкой культурой управления, унаследованной от тех времен, когда планирование деятельности предприятия ограничивалось сроком окупаемости затрат на его создание («отбить свое») или получения заданной прибыли.
В соответствии со стандартной шкалой измерения уровня зрелости большая часть российских предприятий может быть отнесена к первому или второму уровню: процессы управления в них, даже если и повторяются на регулярной основе, не являются частью сформированной системы корпоративных знаний, или в них отсутствует общий подход. С большой долей вероятности можно утверждать, что процессы управления и производства на предприятии часто не документированы, не взаимосвязаны, а их мониторинг и контроль возложены в лучшем случае на самого исполнителя. Разработка и внедрение плана обеспечения бесперебойности бизнеса требуют тщательной документированности установленного на предприятии процесса управления конфигурациями и изменениями, четкого распределения ролей, периодического тестирования, независимого контроля и т.п. А это уже соответствует минимум третьему уровню зрелости предприятия. Перескочить через уровень развития, по исключительному историческому примеру Монголии в недавнем прошлом, вряд ли удастся; ускорить процесс «дозревания» можно, но для этого требуется воля руководства. Движение можно представить в виде классической эволюционной спирали.
Еще раз о культуре
Стратегия все еще не имеет существенного значения для повседневной оперативной деятельности большинства российских предприятий, равно как и goodwill, доброе имя, деловая репутация, имидж, пока еще слабо влияющие на рыночную капитализацию отечественных компаний (хотя на самом деле они дорогого стоят). Отсутствие, непонимание или недооценка значимости миссии предприятия создает большие трудности в определении стратегических целей и направлений развития его бизнеса, а, следовательно, делает невозможным выделение критических бизнес-процессов или рационального распределения средств покрытия рисков предприятия. Специфика российского бизнеса состоит в том, что ИТ-решения девальвируются раньше, чем получают практическую реализацию. Яркие тому примеры — бизнес-интеграция прикладных систем, внедрение ITIL/ITSM, мониторинг бизнес-процессов, сервисно-ориентированная архитектура. Ранее модно было говорить и писать о проблемах реинжиниринга… Оценивая реальные достижения предприятий от внедрения всех известных и полезных технологий, невольно вспоминаешь мораль басни Крылова «Мартышка и очки»: «Как ни полезна вещь, — цены не зная ей, невежда про нее свой толк все к худу клонит; а ежели невежда познатней, так он ее еще и гонит». Действительно, так и происходит с высокими технологиями. Попытки внедрить сложные решения силами неподготовленных специалистов приводят к тому, что руководство, убедившись в его (решения) невозможности способствовать достижению поставленных целей, разочаровывается как в нем самом, так и в возможностях ИТ-службы.
Тем не менее, под постоянным давлением западных инвесторов и руководителей предприятий с иностранным капиталом, отечественные руководители, включая тех, кто разочаровался в действенности современных бизнес-технологий, вынуждены инвестировать минимальные средства в системы управления рисками и, в частности, в системы обеспечения бесперебойности бизнеса. В результате появились организации, которые имеют план обеспечения бесперебойности, формально отвечающий требованиям аудита. Как правило, такой план не используется для мониторинга угроз предприятию, не может быть, да и не будет реально применен в случае возникновения чрезвычайной ситуации. Вопреки распространенному мнению практика (теперь уже в форме чрезвычайного события) показывает, что иметь такой план хуже, чем не иметь его вовсе.
Вместо заключения
Очевидно, что перечисленные выше проблемы взаимосвязаны и взаимозависимы. Слабое регулирование со стороны государства не способствует формализации его отношений с предприятиями, а, следовательно, и разработке, утверждению и внедрению стандартов управления рисками. Неразвитость производственных отношений выражается в отсутствии ответственности руководства предприятий и их заинтересованности в межотраслевой кооперации, что порождено недостаточной законодательной базой, регламентирующей и устанавливающей ответственность предприятий по принятым ими обязательствам. Низкая культура управления не стимулирует
потребность инвестировать в защиту деловой репутации, бизнеса и интеллектуального капитала компании, создание корпоративных ценностей, которые всегда снижают социальные риски. Слабая государственная политика и недостаточная моральная и социальная ответственность руководства предприятий в оказании помощи при ликвидации последствий природных и техногенных катастроф приводят к большему числу жертв, чем это могло бы быть при интеграции планов и усилий государства и бизнеса.
Изложенные проблемы не являются непреодолимыми на пути внедрения систем обеспечения бесперебойности бизнеса, ведь нет необходимости в немедленной и полной защите всего бизнеса, это можно делать по частям, выделяя наиболее значимые бизнес-процессы или виды деятельности. Главное — осознать свою ответственность и помнить, что береженого Бог бережет, а надежда на «авось» не гарантирует предприятию выживания в чрезвычайной ситуации.
Эдуард Оганов — руководитель консалтинговой практики компании Symantec, eduard_oganov@symantec.com