Управление непрерывностью бизнеса и управление операционными рисками. Где курица и где яйцо?
Вычислительные комплексы Вычислительные комплексы

В настоящем обзоре представлен анализ взаимосвязи процессов управления непрерывностью бизнеса и управления рисками, выполненный известными специалистами в данной предметной области

Главная>Вычислительные комплексы>Управление непрерывностью бизнеса и управление операционными рисками. Где курица и где яйцо?
Вычислительные комплексы Тема номера

Управление непрерывностью бизнеса и управление операционными рисками. Где курица и где яйцо?

Дата публикации:
04.03.2009
Посетителей:
276
Просмотров:
276
Время просмотра:
2.3

Авторы

Автор
Борис Альтерман В прошлом - исполняющий обязанности руководителя группы консалтинга компании "Инфосистемы Джет"

Здравый смысл – это интуитивное чувство истины
(Макс Жакоб)

 

В настоящем обзоре представлен анализ взаимосвязи процессов управления непрерывностью бизнеса и управления рисками, выполненный извест­ными специалистами в данной предметной области.

 

 

Сэр Уинстон Черчилль однажды охарактеризовал Британию и Америку, как: «две нации, разделенные общим языком». Эта старая шутка довольно хорошо работает для дисциплин управления непрерывностью бизнеса и управления рисками. Обе эти дисциплины адресованы к одним и тем же проблемам, имеют одни цели и используют единую терминологию, при этом временами демонстрируя недопонимание друг друга. Риск-менеджеры пытаются учесть все типы рисков, стремятся оценить как величину ущерба, так и вероятность наступления ЧС, и затем определяют риск, как линейную функцию этих двух величин. 


Специалисты по непрерывности бизнеса всегда обращают значительно большее внимание на последствия, т.е. на ущерб, который является результатом реализации ЧС. В случаях, когда возможен очень большой ущерб, бессмысленно для определения бюджета защитных мероприятий перемножать очень большую стоимость ущерба на очень малую вероятность наступления события. Получится «средняя температура по больнице», не отражающая реальное положение вещей.

 

Опубликованный «BSI Business Continuity Code of practice, 25999», рассматривает систему управления непрерывностью бизнеса (ВСМ) как дисциплину, дополняющую систему взглядов управления рисками (RM). ВСМ определяет риски и управляет их последствиями для бизнеса или для отдельных процессов организации. При этом, организация определяет меры, необходимые для защиты людей, помещений, производственных технологий, ИТ-инфраструктуры, цепочек поставок, интересов акционеров и репутации. На основе этой информации формируются планы действий в соответствующих обстоятельствах.

 

На сегодняшний день сосуществуют три точки зрения, являющиеся причиной разногласий между специалистами по непрерывности бизнеса и управлению рисками:

  1. процессы управления непрерывностью бизнеса и рисками тесно взаимоувязаны «на равных»;
  2. жестко связаны, при этом непрерывность – компонента риска;
  3. взаимосвязаны, но сосуществуют без какой – либо иерархии между ними. 

 

Управление рисками – хорошо укоренившаяся и понимаемая составная часть бизнес-процесса организации. В эту функциональность с трудом интегрируются современные технологии управления непрерывностью бизнеса по причине не столько реальной сложности, сколько проблемами восприятия и противодействия нововведениям. Специалисты, имеющие опыт работы с управлением рисками, имели дело с предшест­венниками современных методологий управления непрерывностью бизнеса, аварийного восстановления, кризисного управления и т.д., интерпретируя их, как реакцию на конкретные риски. При такой точке зрения ВСМ рассматривается как подмножество RM, точнее как одну из компонент  RM. По сути это означает восприятие ВСМ как вновь изобретенного преемника аварийного восстановления (Disaster recovery), что неверно.

 

На самом деле управление непрерывностью бизнеса интегрирует в себе: планирование действий в чрезвычайных ситуациях (emergency planning), кризисное управление (crisis management), планирование аварийного восстановление (disaster recovery planning), мероприятия по защите здоровья и безопасности персонала…. Такой набор процессов вполне можно интерпретировать как отдельный процесс управления рисками!  

 

Если не привязываться к опыту специалистов по управлению рисками, анализируя функциональность процессов, можно придти к выводу, что речь идет о двух самостоятельных процессах: управление непрерывностью бизнеса и управление рисками. Ключевой вопрос: почему мы должны управлять рисками?  Риторический ответ – для того, чтобы обеспечить непрерывность бизнеса! Этот довод является ключевым аргументом для позиционирования RM как компоненту BCM и в этом есть здравый смысл. Как бы то ни было, одним из первых шагов программы ВСМ является оценка рисков. Однако в этой аргументации существует серьезный изъян.


Управление рисками в большинстве организаций можно разделить на две части, связанные с двумя категориями рисков. Например, обеспечение возврата долгов по кредитам –  предмет управления рисками банков. Защита непрерывности этого бизнес-процесса, также содержащая компоненты управления рисками, является частью общего управления непрерывностью бизнеса организации. Таким образом, управление рисками может быть как составной частью всеобъемлющих (end-to-end) бизнес-процессов, так и ключевой функцией обработки угроз выполнения самого ВСМ процесса, и тогда эти две функциональности RM взаимосвязаны, но существуют отдельно, без какой-либо иерархии между ними. Рассмотрим в качестве примера хеджирование обменного курса. Эта функция – часть бизнеса организации и имеет мало общего с управлением непрерывностью бизнеса. Эта функция сама по себе – управление рисками бизнеса.

 

Непрерывность бизнеса в данном случае заключается в способности без сбоев выполнять процесс хеджирования обменного курса. Этот процесс в условиях угроз подвержен различным рискам, т.е. необходимо управление рисками.      

   

Из сказанного следует, что риски имуществу, людям и вообще любым ресурсам, на которых базируется бизнес, четко ассоциируется с управлением непрерывностью бизнеса и, соответственно,  управлением этими рисками – подмножество ВСМ. Это управление не включает риски капитализации бизнеса, хеджирование и другие аналогичные функции.

 

Существует ошибочное мнение, что раз уж в организации поддерживаются оба эти процесса, не имеет значения, как позиционировать между собой RM и BCM. Такой подход может очень негативно отразиться на деятельности организации. Речь идет о корректном позиционировании сущности и важности этих функций в организации.  Например, невозможно представить программу управления непрерывностью сложного бизнеса,  ответственность за выполнение которой возложена на административно-хозяйственный отдел.

 

Резюмируя, приходим к следующим выводам:

 

  1. Процесс управления непрерывностью бизнеса не должен подчиняться управлению рисками.
  2. Функциональность RM является компонентой ВСМ.
  3. Существует отдельный процесс управления рисками (операционными и стратегическими),  влияющий на бизнес организации.

 

Любое другое распределение зон ответственности между ВСМ и RM каждая организация выбирает для себя сама, исходя из здравого смысла и опыта.

 

Литература:

 

  1. Andrew McCrackan – Is Business Continuity a Subset of Risk Management
  2. Julia Graham – Business Continuity and Risk Management are Interwinded
  3. Lyndon Bird – Business Continuity & Risk Management – two sides of the same coin

Уведомления об обновлении тем – в вашей почте

Непрерывность бизнеса в контексте импортозамещения

Когда мы говорим о непрерывности, то в первую очередь имеем ввиду непрерывность бизнеса, а не отдельных процессов.

Доступность как элемент информационной безопасности

В соответствии с общепринятым современным подходом (см., например, ), выделяют следующие аспекты информационной безопасности:   доступность (возможность за приемлемое время получить требуемую информационную услугу); целостность ...

Этюды об управлении непрерывностью бизнеса (часть 2)

Первый – этап творческий, когда создается что-то новое, еще неизвестное. И второй – этап рутинный, когда активное созидание сменяется кропотливой работой по поддержанию в работоспособном состоянии всего того, что было создано на первом этапе.

Непрерывность бизнеса. Подходы и решения

Именно тогда компании столкнулись с проблемой аварийного восстановления деятельности и начали хранить дубликаты критичных данных в электронной и бумажной форме в удаленных помещениях.

Оценка операционных рисков

Рассказывая в этом номере о новом постановлении в области обеспечения непрерывности бизнеса, мы не могли не уделить внимание важному моменту, который связан с оценкой операционных рисков

Построение многоуровневых систем хранения данных: роль Networked Storage Controller

Опыт работы компании «Инфосистемы Джет», подтверждая общие тенденции в области программных и аппаратных средств хранения информации, свидетельствует о том, что традиционные системы хранения данных (СХД) уже не могут в полном объеме удовлетворять ...

«Нам важен каждый клиент, мы стремимся, чтобы он получил качественный сервис»

Николай Яшин рассказал о том, какое место непрерывность бизнеса занимает в компании «ЛУКОЙЛ-Интер-Кард»

Консалтинг в области информационной безопасности

Консалтинг в области информационной безопасности представляет собой комплекс услуг, оказываемых компанией-консультантом заказчику с целью определения ..

Спасибо!
Вы подписались на обновления наших статей
Предложить
авторский материал





    Спасибо!
    Вы подписались на обновления наших статей
    Подписаться
    на тему







      Спасибо!
      Вы подписались на обновления наших статей
      Оформить
      подписку на журнал







        Спасибо!
        Вы подписались на обновления наших статей
        Оформить
        подписку на новости







          Спасибо!
          Вы подписались на обновления наших статей
          Задать вопрос
          редактору








            Оставить заявку

            Мы всегда рады ответить на любые Ваши вопросы

            * Обязательные поля для заполнения

            Спасибо!

            Благодарим за обращение. Ваша заявка принята

            Наш специалист свяжется с Вами в течение рабочего дня