Непрерывность бизнеса: как управлять рисками на производстве?
Практические кейсы ведущих международных экспертов на БРИФ-2019
Современный мир постоянно меняется. Растет число событий катастрофического характера, вызванных изменениями климата, стихийными бедствиями, политической нестабильностью, промышленными авариями и кибер-атаками. Качественный, бесперебойный процесс — залог развития любой компании, поэтому ее сотрудникам необходимо быть готовыми к любым рискам и потрясениям, чтобы обеспечить функционирование бизнеса любого уровня сложности. Только при таком подходе можно рассчитывать на стабильную работу предприятия и его процветание в будущем. О том, как управлять непрерывностью производственных процессов, справляться с кибер-угрозами и природными катаклизмами рассказали ведущие российские и зарубежные эксперты и топ-менеджеры на III Байкальском международном риск-форуме. Организатором мероприятия выступила Иркутская нефтяная компания.
Риск-испуганность или риск-нигилизм?
Марина Седых
Генеральный директор ИНК
"В прошлом году появилось новое понятие – "риск-испуганность", употребленное в негативном контексте. Да, нельзя бояться действовать, но, с другой стороны, испуганность - это здорово, это значит, что риски идентифицированы, что они реальны, и появляется необходимость ими управлять".

По ее мнению, хуже, когда в компании отрицают риски, занимают позицию риск-нигилистов или рассчитывают на русский авось – в сравнении с этим риск-испуганность представляется весьма перспективной моделью.

"Я хочу, чтобы мы постоянно повышали уровень риск-культуры нашей компании, ведь риски - это не только проблемы, но и возможности, - отметила Марина Седых, - к примеру, у нас есть планы ликвидации аварий, но мы не знаем, как быстро восстанавливать бизнес, следующим этапом просто никто не занимается. Мы должны научиться грамотно и эффективно управлять этими процессами. Площадка БРИФа как раз и способствует тому, чтобы компании знакомились с практическими примерами непрерывности бизнеса и понимали "что" и "как" нужно делать для устранения и предотвращения рисковой ситуации".

Управление непрерывностью производственных процессов: основные примеры из бизнеса
Сегодня кризисные ситуации во всем мире, в основном, возникают по причине природных бедствий, промышленных происшествий и финансовых преступлений и могут нанести значительный урон репутации компании. Постоянно возникающие неопределенности, повышенная волатильность, а также масштабы и количество кризисов продолжают расти. Согласно данным, представленным специальным гостем форума — глобальным руководителем практики по кризис-менеджменту компании Deloitte Масахико Сигуяма, сейчас организации сталкиваются с гораздо большим количеством кризисов, чем 10 лет назад. За последние два года 80% компаний во всем мире были вынуждены мобилизовывать свои команды по непрерывности бизнеса и кризис-менеджменту. При этом список ситуаций, требующих вмешательства руководства, возглавили инциденты с кибербезопасностью и промышленные аварии, связанные с природными катаклизмами.
"Общий тренд заключается в том, что влияние кризисных ситуаций на экономический рост является последовательно нарастающим. Эта тенденция наблюдается и в японских компаниях. Наше исследование по непрерывности бизнеса и кризис-менеджменту в Японии показывает, что большинство компаний уверены в том, что количество кризисных ситуаций в течение ближайших пяти лет значительно увеличится".
— сказал Масахико Сигуяма, специальный гость форума — глобальный руководитель практики по кризис-менеджменту компании Deloitte
Это касается компаний, работающих в сферах энергетики и природных ресурсов, финансовых услуг, технологий и медиакоммуникаций, здравоохранения, потребительских и промышленных товаров.
Подход к решению кризисных ситуаций компании Deloitte
В компании Deloitte подход по работе с кризисными ситуациями делят на четыре этапа:
1
Оценка рисков кризиса.
Формирование полной картины всех возможных последствий, связанных со средой рисков организации
2
Обеспечение готовности к кризису.
Предотвращение кризисов, управление возникающими проблемами и обеспечение готовности к более серьезному развитию событий
3
Реагирование на кризис.
Реагирование на кризисы и обеспечение непрерывности деятельности
4
Кризисное восстановление.
Извлечение уроков и внесение корректив для дальнейшего укрепления организации
По словам Масахико Сигуяма, среди этих четырех этапов управления кризисной ситуацией традиционно компании уделяли наибольшее внимание обеспечению готовности. Сейчас же они стараются сконцентрироваться на процессах подготовки к планам, улучшению идентификации рисков и способов ликвидации аварийных ситуаций.
"Японские компании пришли к пониманию того, что есть риски, о которых мы еще не знаем, поэтому сейчас с новой силой идет их идентификация, чтобы сделать классификацию рисков максимально полной. Эффективное антикризисное управление выходит за рамки реагирования и просто защиты существующей ценности. Это обеспечивает устойчивость и повышает производительность в будущем, что позволяет организации стать сильнее"
— отметил Масахико Сигуяма, специальный гость форума — глобальный руководитель практики по кризис-менеджменту компании Deloitte
Наталья Капризина напомнила, что сотрудники Deloitte проходят обучение и постоянно совершенствуют свои навыки. Принимая решения, они думают о последствиях для компании и бренда в целом. Управление рисками встроено в принятие всех основных бизнес-решений на всех уровнях. Когда в компании думают о каком-то проекте, устойчивость решений тестируется на уровне идеи. Специалисты стараются заранее понять, что может пойти не так.
"У нас 200 офисов по всему миру, мы интегрируем и постоянно общаемся друг с другом по разным проектам. Когда принимается какое-то решение, оно обязательно согласуется со всеми. Критика в этом случае приветствуется. Все, чтобы выбрать оптимальное решение" - рассказала Наталья Капризина.
Если человек предлагает идею, он должен понимать, что он делает. Правила есть правила. Но любой сотрудник должен осознавать почему это правило существует и зачем оно было принято. Любое решение является не слепым следованием правилам, а именно обоснованным. Сотрудник должен подумать, что он делает и является ли это концептуально правильным и посоветоваться в случае сомнений. В Deloitte это действительно глобальная культурная история. Кризисы у компании также случаются, но сотрудники Deloitte стараются сделать из них выводы.
Риски и негативные изменения в регуляторной среде можно рассматривать не только как угрозу, но и как возможность к введению новшеств, получению преимуществ через несколько лет.
"Непрерывность — это про уверенность бизнеса в том, что "мы здесь надолго". Этот менталитет совершенно меняет подход к принятию решений. Для бизнеса ключевые риски разные. Для нашей компании репутация – наше все! Если в одном из наших офисов что-то происходит, то пострадать могут все. Поэтому в компании критически относятся к сиюминутной выгоде любых сделок. В момент принятия решения один из основных факторов, который очень серьезно рассматривается — что с нами после этого решения будет через несколько лет. Когда вы смотрите в долгосрочном периоде, анализ рисков происходит совершенно по-другому", — отметила руководитель группы по управлению рисками компании Deloitte.
Примеры борьбы с рисками
В феврале 2005 года в офисе Deloitte в Мадриде произошел пожар. В субботу вся компания осталась без офиса и компьютеров, накануне сдачи отчетов. У коллег был план непрерывности реагирования и эвакуации, благодаря которому никто не погиб и не пострадал. На базе существующих планов восстановления уже на следующий день был снят новый офис, в понедельник около полутора тысячи сотрудников смогли выйти на работу. Затем была полностью восстановлена сотовая связь, были подняты сервера. А через четыре дня в офис были доставлены новые компьютеры.
В 2017 году произошла история, получившая широкую известность. На почтовые сервера нашего офиса в Лондоне была произведена хакерская атака. Кибер-атака это плохо, для нас это были серьезные репутационные риски. Мы признали инцидент. Было проведено расследование с привлечением внешних консультантов, принята глобальная программа реагирования. В компании был полностью пересмотрен процесс защиты ИТ-активов.
Основные драйверы, побуждающие компании к внедрению процессов непрерывности бизнеса
Менеджер отдела анализа и контроля рисков PwC Юрий Веселов выделил основные драйверы, которые побуждают компании к внедрению процессов непрерывности бизнеса. Их можно разделить на два больших блока:
Крупномасштабные инциденты, которые могут привести к остановке деятельности компании и уходу с рынка
Например, такие как "Атака дронов на арабскую компанию" и "Кибер-атака на металлургическую компанию Norsk Hydro".
Регуляторные требования
№116-ФЗ "О промышленной безопасности опасных производственных объектов" и №187 "О безопасности критической информационной инфраструктуры РФ", где также выставляются требования по восстановлению критичных систем.
Регуляторные правила в ближайшее время будут усиливаться. По мнению специалистов, решить эту проблему можно с помощью проведения систематического обучения сотрудников, включая практические учения-тренинги с задействованием всех уровней реагирования от аварийно-спасательных формирований до высшего руководства компаний, мониторинга законодательства и судебной практики, регулярной оценки правовых рисков, участия в разработке законодательных инициатив.
Юрий Веселов подчеркнул, что компаниям необходимо заранее составить планы по выходу из кризисной ситуации. Эффективно выстроенная система кризисного реагирования, действий в первые минуты, часы — это исключение человеческих жертв, минимизация экологического ущерба, потерь для компании — финансовых и репутационных, а также обеспечение возможности восстановления производственной деятельности. Для этого необходимо выстроить продуктивное взаимодействие между различными группами восстановления, кризисным штабом, аварийно-спасательными формированиями на площадках, отработать необходимые навыки и обеспечить компанию нужными ресурсами. Важным фактором управления кризисной ситуацией также являются продуманные и своевременные коммуникации с внешними сторонами, включая средства массовой информации и государственные регулирующие органы.

»
План непрерывности, план ликвидации аварий и план восстановления

»
План непрерывности является одним из инструментов управления рисками, уверен партнер, руководитель практики кризис-менеджмента в странах СНГ компании Deloitte Сергей Кудряшов. В случае ЧС может возникать несколько векторов ущерба для компании, и для каждого из них должен быть свой план, который бы обеспечивал снижение ущерба. Для потерь, возникающих из-за обеспечения восстановления процесса, мерой воздействия как раз является план непрерывности. Если вектор ущерба направлен на персонал, оборудование, окружающую среду, то тогда будет использоваться план ликвидации аварии. Если вектор ущерба у нас — функциональность процесса, стоимость восстановления и операционная деятельность - тогда применяется план восстановления. Во многом эти планы похожи, но есть и некоторые различия, например, по требованиям законодательства, наличию резервных вариантов, экстренному реагированию и ликвидации последствий аварий.
"Наличие заранее разработанных планов непрерывности и планов восстановления позволяет практически в два раза сократить размер простоя при ЧС. При этом присутствие плана еще не является гарантией того, что вы сможете что-то обеспечить и сократить риски. Эти планы обязательно должны быть протестированы на практике. Должна быть симуляция ситуации, чтобы сотрудники, специалисты команды устранения четко и заранее отработали план. Чтобы руководители реально понимали за какой срок смогут восстановить рабочий процесс при масштабном инциденте".
— считает Антон Матвеев, ведущий консультант Deloitte
Система управления непрерывностью является неотъемлемым компонентом общей системы управления рисками на производстве. И весь процесс разработки, внедрения и дальнейшего совершенствования этой системы он идет сначала от анализа рисков, их оценки, определения других параметров, но на этапе разработки самих планов непрерывности и восстановления могут существовать два подхода. Можно создавать, как отдельные главы под каждый процесс, так же может существовать подход интеграции всех этих документов в единую систему, чтобы они взаимодополняли друг друга.
По мнению директора департамента KLR Алексея Осипова, план непрерывности действий сам по себе не дает 100-процентных гарантий, нужно управление этими процессами.

"События могут быть неожиданными и иметь большое, даже катастрофическое влияние в рамках бизнеса. У них, естественно, есть ретроперспектива, появляется рациональное объяснение, почему так сложилось. Есть и общие недостатки, например, превентивные меры были не совсем достаточные, раз такое произошло. Поэтому нужно смотреть баланс затрат, выгоды, вероятность реализации сценария и все-таки рассчитывать процесс и определять, что важнее", — сообщил Алексей Осипов.

Генеральный директор "РискТЭКконсалт" Владимир Орлов подчеркнул, что о рисках нужно задумываться в момент возникновения идеи. Все новые проекты — это уже потенциальные риски с поставщиками, строителями, финансированием. Присутствует инфраструктура или нет. Очень часто для нового проекта нет накопленной базы знаний, что делать и как делать, какие неприятности могут скрыть. Но вообще, все риски должны закладываться на этапе проектирования. При этом риск-менеджер должен вовлекаться в проект на этапе идеи и вести весь проект.
"Sukhoi Superjet — очень хороший показатель и для профессионального сообщества и для обывателей о том, как непрерывность поставок и вся логистика может разрушить хороший проект. Все западные покупатели отказываются от этого самолета, потому что нет сервиса. Планируется, что по проекту будет проводиться ребрендинг. Название Sukhoi Superjet будет стерто из памяти, и самолет будет продаваться под новым именем, чтобы убрать этот шлейф негатива", — отметил Владимир Орлов.

»
Киберриски становятся трендом последнего времени
В последнее время компании сталкиваются с растущим числом киберугроз. Для многих отраслей кибербезопасность сейчас является самой актуальной темой. Традиционной зоной атаки становятся корпоративные системы управления, а также системы управления технологическими процессами. При этом все сети на предприятии тесно связаны — как управленческого, так и технологического контроля. Для хакеров это открывает возможность попасть в системы технологического управления, через корпоративные рабочие системы.
Руководитель дирекции управления рисками Интер РАО Сергей Саламатов отмечает, что у цифровизации бизнеса есть, так называемая «темная сторона» в виде киберрисков, о которых не в коем случае нельзя забывать. Все просто: если мы собираем данные от объектов в информационную систему для аналитики, то есть вероятность, что по этим же каналам связи злоумышленники могут дать обратные команды и остановить все те же самые объекты, которые нам сообщают информацию. Сейчас в тренде организация интернета— кругом устройства, отправляющие информацию в «облака» и получающие команды из глобальной сети. При большой заинтересованности проникнуть можно в любую систему, каждая компания может подвергнуться киберугрозе. Самый простой способ решения проблемы – это работа в офф-лайн, но, к сожалению, не всегда это возможно и целесообразно.
Киберриски и объекты воздействия многообразны. Они могут затрагивать и объекты критической инфраструктуры, потенциальные последствия от реализации рисков на таких объектах катастрофичны. От действия хакеров может пострадать не только экология, но и обеспечение жизнедеятельности и безопасности людей, возникнуть различные рыночные и репутационные последствия.
Так от кого же нужно защищаться?
По своей природе источниками киберрисков могут быть как обычные хулиганы, так и профессиональные хакеры по запросу конкурентов, спецслужбы и т.п. Затраты на защиту от разных категорий злоумышленников при этом могут существенно различаться.
Решить проблему киберрисков возможно. Для этого нужно страхование, аудит IT-систем, работа в offline и импортозамещение.

"Киберриски требуют всестороннего анализа. Грамотная система безопасности должна предотвращать несанкционированный доступ к данным, не допускать воздействие на технические средства обработки информации, восстанавливать функционирование значимого объекта", — резюмировал ведущий эксперт по информационной безопасности КРОК Евгений Дружинин.


»
Ситуация со стихийными бедствиями усугубляется


»
Практический кейс
Изменения в климате, сухая погода, а также человеческий фактор все чаще приводят к возникновению природных пожаров в Сибири. Этот год не стал исключением. Опытом управления непрерывностью бизнеса в условиях задымленности поделились специалисты компании ИНК Руслан Салихов, Вадим Мухутдинов, Дмитрий Зотов, Николай Неумывальченко и Артем Жуков.
Производственные объекты ИНК расположены на севере Иркутской области, в труднодоступных местах, где ежегодно случаются лесные пожары. В 2014 году сотрудники Иркутской нефтяной компании участвовали в тушении трех лесных пожаров, в мониторинге находилось порядка 10-ти возгораний. Дождливое лето 2015 года неприятных сюрпризов не преподнесло, был зафиксирован всего один лесной пожар. В 2016 году ситуация сложилась кардинально хуже - за лето было зафиксировано 28 очагов возгораний. Порядок действий в ИНК был определен заранее, поэтому ликвидацию возгораний проводили по стандартной схеме.

К тушению были привлечены 100 работников компании, 13 единиц техники и 17 парашютистов-десантников. После того, как ситуация в регионе стабилизировалась, пожароопасная обстановка ухудшилась в Красноярском крае. В конце августа дым от лесных пожаров дошел до объектов ИНК. Из-за высокой концентрации в воздухе смолистых веществ (на тысячах га горел хвойный лес), были остановлены газотурбинные электростанции (ГТЭС). Соответственно, остановились объекты подготовки углеводородного сырья и закачки рабочего агента в пласт.

Из-за отсутствия электроснабжения встали механизированные скважины, 12 буровых установок и несколько объектов хозяйственно-бытового назначения. Чтобы восстановить ГТЭС и вернуться в рабочий режим, компания затратила много времени и сил.
10 дней – до 28 сентября – действовал режим ограничений по запуску электростанций. Так как вышла из строя часть генерирующих машин и электроэнергии не хватало, производственные и вспомогательные объекты запускали по очереди. Полностью запустить механизированный фонд добычи удалось к 10 октября, остальные объекты запускали по мере восстановления генерирующих мощностей.
Руслан Салихов
Заместитель главного инженера ИНК
"Мы рассматривали риск повреждения оборудования вследствие пожаров, а вот риск появления задымления мы на тот момент не предусмотрели. У нас на этот счет были меры предупреждения нештатных ситуаций— использование фильтра F6, стандартной промывочной жидкости, эпизодический мониторинг степени загрязнения газовоздушного тракта (ГВТ) путем эндоскопии. Впоследствии мы изменили систему фильтрации, модернизировали систему воздухозабора, начали использовать для промывок от продуктов горения специализированные жидкости, увеличили количество промывочных машин, реализовали мониторинг степени загрязненности ГВТ в режиме реального времени"
Критическая ситуация с пожарами в Сибири возникла летом 2019 года. Если в 2016-м в Иркутской области вблизи объектов ИНК действовало 28 пожаров на площади 12 тысяч га, то спустя три года на территории региона вспыхнуло 43 возгорания на площади 32 тысячи га. Компания работала в режиме задымления 22 дня, что на 10 дней больше, чем в 2016 году.

После начала лесных пожаров и ввода режима ЧС в регионе, в ИНК были проведены встречи с персоналом и подрядчиками. Работа в условиях задымления требует слаженности действий и дисциплины. Чем меньше человек находится на улице, тем меньше рискует здоровьем, поэтому была модернизирована система вентиляции в общежитиях и разработаны инструкция по режиму работы и отдыха в опасный период. Сохранить здоровье сотрудников – именно эта задача стала приоритетной. Была введена система доплаты за работу в период задымления. Параллельно проводили локализацию и ликвидацию возгораний. Кроме того, был продуман целый ряд организационных мер по предотвращению задымления. В частности, был заключен договоры с «Авиалесоохраной» на облет территорий возгорания.

Регулярно работал самолет, распыляющий йодистое серебро на облака, чтобы вызвать дождь. Спутниковый мониторинг лесных пожаров проводился ежедневно. Даже после прекращение режима ЧС специалисты продолжили мониторить лесопожарную обстановку.
Дополнительные меры помогли ИНК достаточно эффективно пережить гораздо более критичную задымленность. В этот сезон компания не потеряла ни одной генерирующей машины, фонд добывающих скважин работал полностью. Дополнительные меры себя полностью оправдали.
"Для себя мы поняли, что в текущей ситуации победить все пожары в Иркутской области и Красноярском крае мы не сможем, поэтому мы должны научиться жить и работать в условиях наличия этого фактора. Также как привыкли работать в условиях низких температур. Мы должны в первую очередь обеспечить бесперебойное производство, а также максимальные условия для сохранения здоровья и жизни людей. Это первоочередная миссия нашей компании в разрезе работы в условиях задымления"
— сообщил Руслан Салихов, заместитель главного инженера ИНК
Оценивая риски, связанные с природными пожарами, эксперты подчеркнули, что в будущем ИНК сможет справиться со многими ситуациями, например, задымлением на месторождении, перекрытием путей сообщения, массовым отравлением персонала, взаимодействием при ЧС с подрядными организациями и эвакуацией персонала. Единственный неблагоприятный сценарий, который может реализоваться, это верховые пожары вблизи объектов ИНК. Сейчас специалисты прорабатывают дополнительные мероприятия для готовности и к таким ситуациям.

»
Непрерывность управления бизнесом – это возможно

»
Ольга Высоцкая
Член совета директоров, независимый директор ИНК
"В этом году на форуме звучала тема непрерывности бизнеса. Два дня форума были наполнены практическим опытом, которым с присутствующими делились ведущие международные эксперты. Площадка БРИФа замечательна тем, что здесь действительно разрабатываются практические кейсы. И думаю, все, кто стал участником нынешнего форума настроен на то, что его бизнес будет существовать еще очень долго, будет развиваться и при этом работать непрерывно, а не только справляться с сегодняшней повесткой. Я верю, что это возможно и это можно реализовать практически".


Участниками форума в 2019 году стали около 60-ти спикеров из России и других стран мира. Лучшие практические кейсы по управлению рисками презентовали почти 40 компаний. Возможно в следующем году БРИФ пройдет уже на другой площадке, чтобы вместить всех желающих поучаствовать в масштабном мероприятии.
Яндекс.Метрика
.
.