Проблема управления рисками актуальна для организаций любого профиля. Специфика рисков и акценты, расставляемые предприятием, зависят от его рода занятий и внешней среды. Однако существует пласт угроз, которые присущи как организациям финансового сектора, так и предприятиям реальной экономики, коммерческим и некоммерческим институтам. Речь идет об операционных рисках. В силу сложности своего прогнозирования и большого разнообразия, а также зачастую небольшой оценочной вероятности реализации данный вид рисков часто упускается из рассмотрения при разработке политики управления рисками на предприятии. Однако практические примеры показывают, что именно операционный риск в первую очередь может стать причиной крупных потерь и даже прекращения деятельности компании.

Согласно классификации Базельского комитета по банковскому надзору, операционными называются риски «неадекватных или ошибочных внутренних процессов, действий сотрудников и систем или внешних событий». К подобным угрозам относятся сбои компьютерной системы, негативные действия третьих лиц, природные катаклизмы и т.д. Часть таких рисков предприятие      в      состоянии      снизить      самостоятельно      (например, усовершенствование охранной системы способно снизить угрозу воровства), ущерб от огня можно передавать страховой компании (страхование имущества на случай пожара).

Базельский комитет предлагает следующую классификацию источников операционного риска:

- персонал (намеренные действия сотрудников компании, которые могут нанести ущерб ее деятельности);
- процессы (ошибки и некорректное исполнение операций в ходе осуществления бизнес-процессов либо исполнения должностных обязанностей);
- системы (нарушение текущей деятельности в результате сбоя информационных систем или недоступности сервиса);
- внешняя среда (атаки либо иные угрозы, исходящие из внешней среды, которые не могут управляться компанией и выходят за рамки ее непосредственного контроля).

Однако отличительной чертой операционных рисков является то, что их последствия в ряде случаев непредсказуемы и могут не ограничиваться непосредственным ущербом имуществу, ресурсам и т.д., а приводить к сбоям и остановке целых бизнес-процессов и деятельности всей организации. Что, в свою очередь, может привести как к потере ключевых контрагентов (поставщиков, партнеров, клиентов), так и к прекращению существования самого предприятия (в результате банкротства или отзыва лицензии).

Ярким примером описанных событий является отказ компании «Аэрофлот» от услуг банка «ВТБ» как партнера в осуществлении платежей. В июле этого года в результате хакерской атаки система банка находилась в бездействии в течение шести дней, вследствие чего авиаперевозчик в этот период времени не смог осуществлять продажу своих билетов через Интернет. В последствие Аэрофлот, чей ежедневный оборот торговли электронными билетами оценивается в $1 млн., назвал подобный продолжительный сбой недопустимым и, несмотря на отсутствие прямой вины банка в случившемся, расторг с ним договор партнерства.

Посмотрим на ситуацию с точки зрения управления рисками. Быстрое развитие компьютерных технологий приводит к тому, что предугадать агрессивные действия хакеров и защититься от них практически невозможно. Однако наличие альтернативных мощностей и хорошо отработанный процесс перехода на них могли бы сократить время сбоя. Подобные замечания актуальны и по отношению к последствиям террористических угроз, природных и техногенных катастроф, число которых, по данным перестраховочной компании Swissre, за последние годы увеличилось в несколько раз, и имеет, согласно ее прогнозам, возрастающую динамику, что подчеркивает актуальность вопроса. В тоже время финансовая и экономическая система становятся все более сложными и глобализированными. Это означает, что локальное происшествие может затронуть не только область, в которой оно произошло, но и повлиять на весьма отдаленные регионы (в том числе и при помощи экономических факторов и взаимосвязей). В качестве примера можно привести аварию на нефтедобывающей станции компании «BritishPetrolium». которая повлияла на фондовые рынки по всему миру.

Причинами крупных операционных нарушений может быть широкий спектр угроз, которые трудно предусмотреть заранее. В результате чего их снижение подверженности таким рискам становиться практически невозможном для предприятий. Однако организации могут постараться снизить предполагаемые последствия сбоев своего функционирования. Одним из способов такого снижения является управление непрерывностью бизнеса.

Непрерывность бизнеса - это состояние, при котором все операции и процессы, от которых зависит жизнедеятельность предприятия, проистекают в бесперебойном режиме. Термин «непрерывность» в данном случае является калькой (дословным переводом) англоязычного термина continuity, что часто вводит в заблуждение, так как для многих видов бизнеса (особенно на производстве) непрерывность процессов во времени отсутствует как таковая. Здесь, по нашему мнению, более уместным было бы понятие «целостность» или «бесперебойность».

Управление непрерывностью бизнеса, в свою очередь, это совокупность мер, направленных на   создание условий способствующих непрерывности таких операций и их быстрому возобновлению в случае сбоя. Это «подход, охватывающий все стороны деятельности и включающий использование политик,  стандартов и процедур для осуществления или своевременного возобновления операций в случае их нарушения. Целью такого' управления является минимизация возникших последствий нарушения — операционных,    финансовых,    юридических,    материальных,    а    также репутационных и других». Иными словами, при наступлении критического   события,   организация,   имея   функционирующую   систему управления непрерывностью, будет способна в относительно короткие сроки (по сравнению с организацией, у которой подобной системы нет) вернуться на прежний уровень ведения бизнеса.

Всю совокупность действий осуществляемых с момента наступления нештатной ситуации до полного устранения ее последствий, можно различать' по времени осуществления (т.е. продолжительности периода между самим критическим   событием   и   тем   или   иным   ответным   действием)   и продолжительности этого действия - результата. Чрезвычайная ситуация предполагает экстренные локальные меры, нацеленные на стабилизацию ситуации; кризисное управление - это антикризисные меры на уровне всей организации,  включающие  взаимодействие  как  внутри компании, так  и внешние контакты; восстановление бизнеса - долгосрочные меры, направленные на возвращение на прежний уровень функционирования.

План кризисного управления включает в себя описание процедур (они будут рассмотрены ниже) управления непрерывностью бизнеса и их результат. Таким результатов, является план обеспечения непрерывности деятельности (это материальное (документарное) отражение процесса управления непрерывностью, в нем установлена последовательность мер, проводимых в случае нештатных ситуаций с целью снижения возможных потерь).

Для того чтобы внедрить новый бизнес процесс на предприятии обычно нужно определение его основные цели, проанализировать, что требуется для достижения этих целей, разработать стратегии достижения желаемого результата, внедрить сам процесс, а также провести его последующую оценку результатов. Применительно к процессу управления непрерывностью бизнеса эту процедуру можно разделить на четыре основных стадии: анализ влияния на деятельность (business impact analysis), оценка рисков (risk assesment), управление рисками (risk management) и их мониторинг и тестирование.

Возвращаясь к понятию системы управления непрерывностью бизнеса в целом, можно сделать вывод, что ее основной задачей является разработка плана по поддержанию непрерывности бизнеса, который наилучшим образом соответствует особенностям профиля организации, а также экономических, политических и других условий, в которых существует предприятие. В качестве одной из важнейших характеристик системы управления операционными рисками следует указать ее гибкость, способность принимать ту или иную конфигурацию в зависимости от поставленных задач и потребностей внутреннего заказчика и эффективно дополнять корпоративную систему управления организации.

Об авторе;  Щетинина Мария Геннадьевна – магистр кафедры Анализ риска и экономическая безопасность Финансового университета при Правительстве Российской Федерации.