Наталия Беликова, юридический советник, бизнес-обозреватель
Вплоть до последнего времени Business continuity plan считался неким премиальным аксессуаром больших корпораций и транснациональных компаний — стильным, полезным, но не первой необходимости. Средний и малый бизнес в большинстве своем если и знал о такой опции, не видел необходимости тратить на это внутренние ресурсы, либо не обладал экспертизой, чтобы составить такой план самостоятельно, ни тем более бюджетом на привлечение внешних консультантов. Беспрецедентная ситуация всемирной пандемии стала суровым уроком, который продемонстрировал, что план «Б» нужен любому бизнесу, независимо от его размера и отрасли. Маленьким предприятиям он, возможно, необходим даже больше, так как большие корпорации могут рассчитывать на помощь материнских компаний или государства.
Итак, что такое Business continuity plan и как его разработать?
Business continuity plan — это план непрерывности ведения бизнеса, или антикризисный план компании, который регламентирует и описывает ее действия в типовых кризисных ситуациях. Иногда он включает в себя планирование восстановления после сбоев (Disaster recovery planning), иногда последнее разрабатывается как самостоятельный документ (процедура). Для простоты далее будем называть все это BCP.
Первый вопрос: кто должен отвечать за подготовку такого документа? Как правило, BCP пишется, внедряется и совершенствуется старшим руководителем по безопасности при непосредственном участии руководителя организации. На этих лиц также возложены задачи по формированию антикризисной команды из числа сотрудников или путем привлечения внешних специалистов. Если у вас в штате такой позиции нет, то логично поручить составление самого документа, например, юридическому отделу, Если юридического отдела у вас тоже нет, то вы можете поручить этот проект любому, на ваш взгляд, компетентному сотруднику. При этом необходимо понимать: кто бы ни был номинально ответственным за проект, пусть даже привлекались внешние консультанты — ответственным лицом за окончательное содержание будет непосредственный руководитель организации.
BCP можно условно разделить на три основных блока:
I. Выявление и анализ рисков
Для того чтобы выявить все потенциальные риски бизнеса, рекомендуется привлечь все его ключевые подразделения. И в проектной команде должны быть руководители всех подразделений. Юристы, финансисты, главный бухгалтер, руководитель логистики и производства (если оно есть), руководитель HR, коммерческий директор, руководитель IT. Только тот человек, который отвечает за соответствующий сегмент, сможет точно назвать, какие сложности могут возникнуть в зоне его ответственности, а также сделать относительно точную оценку их последствий.
Первый шаг — составление списка всех бизнес-процессов компании и информационных систем, поддерживающих их работоспособность. Это позволит точно определить конечный состав проектной команды.
Следующий шаг — анализ потенциальных угроз, направленных на бизнес-процессы компании. Производится выявление возможных сценариев реализации угроз и проводится их классификация.
Потенциальные угрозы или риски бывают как общие, так и специфичные, для разных видов бизнеса. К примеру, пандемия так или иначе затронула весь бизнес, кого-то больше (полное приостановление деятельности), кого-то меньше (перевод на удаленку и падение спроса). Есть еще ряд менее экзотических негативных сценариев, которые могут произойти у любой компании: внезапное закрытие офиса пожарными или собственно пожар/потоп в офисе либо на складе, арест счетов из-за претензий налоговой, долгосрочное отключение интернета, электричества или воды в офисе. Специфические риски — это, например, отзыв лицензии или иного специального разрешения у предприятия, которое ему необходимо для ведения бизнеса, перекрытие конкретного логистического направления из-за погодных или политических катаклизмов, неурожай культуры у постоянного поставщика сырья и т.п.
После того как список возможных угроз готов, рядом с каждой из них указываются следующие параметры:
II. Разработка плана минимизации бизнес-рисков и мер реагирования в случае их наступления
Это основной раздел антикризисного плана, включающий в себя описание всевозможных кризисных сценариев, путей их развития и максимально безболезненного закрытия. На этом этапе проводится сравнение возможных потерь с выгодами от предотвращения последствий, оцениваются затраты на предотвращение потерь путем введения в компании комплекса превентивных мер, а также разрабатывается план реагирования при наступлении негативного сценария. На этом этапе план дополняется следующими пунктами по каждому сценарию:
III. Тренинги для персонала и новых сотрудников, внутренние стресс-тесты, а также постоянное обновление BCP с учетом изменения внутренних бизнес-процессов и обновлений законодательства
Тренинги и стресс-тесты позволяют определить, насколько детально разработан план, понятен ли он сотрудникам и менеджменту организации, и как полно он отражает потребности компании в организации планирования непрерывности бизнеса. Если тренинги и тесты покажут какие-то белые пятна или пробелы, технические составляющие плана нужно перепроверить и при необходимости внести уточнения и дополнения.
Организовав тренинги в форме тимбилдинга, можно убить сразу двух зайцев: сплотить команду и отработать кризисный сценарий.
Отдельного упоминания стоит разработка и отработка на тренингах инструкций по коммуникациям с прессой. Как мы уже упоминали выше, операционные риски часто идут рука об руку с репутационными, и сотрудники должны четко понимать, что в случае, например, крупного пожара или несчастного случая предоставление прессе непроверенной или некорректной информации может повлечь серьезный репутационный и правовой ущерб для компании.
Если у вас не было BCP на случай коронакризиса или он не сработал, лидеры консалтинга рекомендуют сфокусироваться на следующих пунктах, специфичных именно для COVID-19. Несмотря на общее улучшение эпидемиологической обстановки, пандемия еще не закончилась, более того, есть вероятность, что осенью она возобновится с новой силой.