Об управлении рисками стоит начать задумываться с самого момента регистрации бизнеса или хотя бы пока реализация риска не стала неминуемой. В конце концов, ключевой задачей любой организации должно быть создание надежной и безопасной среды для работников и для бизнеса с целью получения наибольшей прибыли.
Зачастую, все внимание управленческого персонала направлено на финансовую устойчивость и рост компании. Это, конечно, понятно и даже похвально, но это означает и то, что многие компании не учитывают реальные угрозы.
Нашей целью, как специалистов по рискам, в любой сфере, где бы мы ни работали, является подготовка наших работодателей или клиентов к такой степени готовности к реализации риска, чтобы возможное вредное событие не привело к кризису в компании. Мы должны создавать объекты для защиты активов компании и внедрять процессы, направленные на адекватное и эффективное реагирование на различные чрезвычайные ситуации. Если реализация риска может привести к банкротству компании, планы должны быть разработаны и внедрены таким образом, чтобы обеспечить выживание бизнеса.
В то время как управление рисками может стать сложным процессом, внедренные основы обеспечат устойчивость к событиям, способным причинить вред компании и привести к банкротству.
Реалистичный взгляд на риск
В то время как крупные компании способны инвестировать в управление рисками малые и средние предприятия не имеют для этого достаточных средств. В настоящее время, с постоянно растущими рисками, средним и малым предприятиям необходимо учитывать угрозы и риски, которые когда-то распространялись только на крупные компании.
Сейчас злоумышленники могут повлиять на предприятия любого масштаба и, если организация не проанализировала заранее слабые места, не подготовилась к возможным рискам, может быть нанесен ущерб репутации, произведена атака на информационные системы и т.д. Самым серьезным делом для всех предприятий остается обеспечение выживания. История богата примерами, когда незначительные события в конечном итоге приводят к кризису, а в крайних случаях к закрытию компании. Только за последнее время мы стали свидетелями того, как ряд известных брендов сталкивался с последствиями злонамеренных атак, недостаточным уровнем состояния безопасности бизнеса или неадекватной подготовкой к угрозам XXI века. Последствиями могут быть штрафы, юридический и репутационный ущерб, а в некоторых случаях нарушение бесперебойного функционирования деятельности предприятия.
Планирование на случай реализации риска
Бизнес не может работать эффективно и результативно, если его материальные и нематериальные активы не защищены. Проектирование защищенной среды для бизнеса является первым шагом в создании устойчивости к вредоносному событию. Защищенность компании достигается за счет понимания угроз, оценки вероятности их возникновения и уровня возможного ущерба, а также выявления уязвимостей существующих систем защиты. Анализ рисков является стратегическим инструментом для оценки текущего состояния и может служить основой для принятия управленческих решений, чтобы смягчить и минимизировать возможный ущерб. Данный процесс должен также выявить критические точки, которые необходимо защищать в первую очередь.
Проведение независимого и всестороннего изучения рисков должно помочь в оценке достаточности принятых мер в компании. При всестороннем изучении рисков определяются возможные последствия в случае их реализации, а также определяются уязвимые места компании и выявляются контрольные точки, на которых стоит сосредоточиться. События, которые могут причинить вред, должны быть выявлены как можно раньше, чтобы обеспечить продуманное и адекватное реагирование.
Подготовка к риску как к неизбежному
Риск, который был выявлен, но был оставлен без ответа или решения, не был минимизирован. Комплексные оценки риска могут дать совет организациям, каким областям бизнеса стоит уделить дополнительное внимание, выявить, откуда могут исходить угрозы. Заранее выработанный план действий на случай возникновения чрезвычайной ситуации или процедуры реагирования имеет решающее значение для обеспечения бесперебойной деятельности компании.
Бизнес, который не учитывает и не готовится к «наихудшему сценарию», при существующих злоумышленниках, человеческих ошибках и постоянно меняющихся угрозах, оказывает себе медвежью услугу.
К сожалению, задокументированного процесса недостаточно для обеспечения адекватного реагирования на чрезвычайную ситуацию. Процесс планирования на случай чрезвычайной ситуации должен также включать в себя учебные упражнения, в которых лица, ответственные за реагирование на ЧС, постоянно обучаются и проверяются. Кроме того, все сотрудники должны быть в курсе, что делать в случае возникновения чрезвычайной ситуации. Важность осведомленности сотрудников нельзя недооценивать, и этого можно достичь с помощью уведомления сотрудников об известных угрозах. Подход к оценке риска должен постоянно совершенствоваться, поскольку сами угрозы, с которыми можно столкнуться, постоянно усложняются. Предприятия, которые не проводят оценку рисков и не планируют свою защиту, подвергаются воздействию более тонких, и более опасных угроз, которые могут в долгосрочной перспективе создать угрозы их устойчивости. Угрозы никогда не могут быть предотвращены на 100%, но при правильном планировании рисков можно избежать их фатального исхода.
Gavin Wilson, Head of Risk Advisory Services, Wilson James
