Глобальные цепочки поставок, киберриск и непредсказуемая погода - это всего лишь несколько факторов, осложняющих риск прерывания бизнеса.
Любой специалист по управлению рисками должен иметь четкое представление о рисках, которые могут привести к прерыванию бизнеса (BI), но оценка рисков, возможно, становится все труднее.
В настоящее время киберриски проникают почти во все аспекты бизнеса, цепочки поставок являются глобальными, и по-прежнему существует необходимость действовать максимально экономно и эффективно, что означает ограниченный бюджет. Добавьте к этому растущую непредсказуемость неблагоприятных погодных и политических рисков, не лежащих на поверхности и задача выявления, количественной оценки и снижения риска BI становится еще более сложной.
BI является основным фактором риска для бизнеса, поскольку серьезный сбой может нанести существенный ущерб доходам, ценам на акции, удержанию клиентов и росту.
Согласно Отчету Института непрерывности бизнеса (BCI) за 2018 год о непрерывности и устойчивости бизнеса, средняя стоимость серьезного прерывания бизнеса в прошлом году составила 350 000 долларов - немалая сумма и более четверти из 500+ респондентов понесли убытки в размере более 250 000 долларов США.,
Претензии BI, хотя и менее часты, чем убытки от материального ущерба, но обычно обходятся дороже. «BI не часто находится на переднем крае дискуссий, но причиняет много неудобств», - говорит Отто Кочиш, директор Zurich по прерыванию бизнеса и устойчивости.
«Ключевой вопрос, на который должны ответить организации: «сколько процентов моего бизнеса поставлено на карту, если поставщик даст сбой или производство остановится?». Понимание сложности цепочки поставок все еще остается большой проблемой».
Отчет BCI об устойчивости цепочек поставок за 2018 год показал, что за последние 12 месяцев 56% предприятий испытали сбои в цепочке поставок. Некоторые крупные компании с глобальными цепочками поставок имеют условные риски BI, исчисляемые сотнями миллионов долларов.
Почти половина заявленных убытков 2018 года была полностью не застрахована. Из тех, кто не был полностью застрахован, 19% были готовы принять убытки, но более половины (52%) были удивлены, почему убытки не были покрыты.
Скрытые факторы риска
Киберриски продолжают расти и усложняют оценку рисков цепочки поставок. По данным BCI, незапланированные отключения ИТ или телекоммуникаций были наиболее частой причиной сбоев в 2018 году, а кибератаки и утечки данных заняли третье место после неблагоприятных погодных явлений. Респонденты также считали, что сбои в ИТ и кибератаки являются главной угрозой в цепочке поставок, как на предстоящий год, так и на ближайшие пять лет.
Кен Кац, директор по контролю рисков имущества Travelers, добавил, что интеллектуальная собственность (ИС) становится все более важным риском прерывания бизнеса. «Если ИС потеряна и получена конкурентом, это тоже угроза для бизнеса».
Он посоветовал компаниям рассмотреть возможность включения юридических соглашений о неразглашении в контракты и обеспечить полное понимание того, кто в своих цепочках поставок имеет доступ к конфиденциальной информации и какие процессы они используют для обеспечения ее безопасности.
Однако важно отметить, что, если физический ущерб не причинен в результате кибератаки, то киберинциденты не охватываются стандартными полисами BI.
По словам Дункана Эллиса, лидера практики недвижимости Marsh в США, число страховщиков, включающих «нефизический ущерб компьютерных систем» или «программы и программное обеспечение для обработки данных» в качестве подлимитов в их программы страхования имущества, выросло в 2017 и 2018 годах.
Однако в конце 2018 года в отрасли произошли «кардинальные перемены» и многие страховщики сократили лимиты и ввели соответствующие совокупные показатели, периоды ожидания и франшизы в соответствии с отдельными полисами киберрисков, пояснил он.
Эллис настоятельно призвал компании, чьи цепочки поставок подвержены киберриску, приобрести отдельное покрытие киберинцидента и обеспечить, чтобы полис киберстрахования явно охватывал условный BI, чтобы включить поставщиков и получателей, выходящих за пределы первого уровня в цепочке поставок.
Неблагоприятная погода является еще одной растущей проблемой для рисков BI и, по данным BCI, стала второй по величине причиной нарушения цепочки поставок в 2018 году. Компании считают, что экстремальные погодные условия представляют собой растущую угрозу в долгосрочной перспективе и считают ее четвертой по величине угрозой в будущем в течение следующих 12 месяцев, но третьей в ближайшие пять лет.
Однако вопрос о том, оказывает ли это существенное влияние на страховое покрытие или страховые премии отдельных компаний, подлежит обсуждению, поскольку Эллис сказал, что ему еще предстоит увидеть влияние погодных условий на программы страхования.
«Каскадное воздействие некоторых рисков до сих пор часто неправильно понимают», - добавил Кац. «Люди знают, что ураган наносит ущерб посредством ветра и наводнениями, но меньше думают о влиянии на телекоммуникации или неспособности людей добраться до мест работы, которые впоследствии могут повлиять на бизнес».
Между тем, несмотря на возрождение протекционизма во всем мире, цепочки поставок остаются глобальными, что делает политический риск за рубежом постоянной угрозой. А поскольку неопределенность по-прежнему присутствует в торговых отношениях США и Китая, многие компании могут столкнуться с перебоями в цепочке поставок, если произойдет внезапный сдвиг в этой динамике.
Автономная политика в отношении рисков и торговых кредитов охватывает конкретные сценарии, в которых активы или причитающиеся с них средства удерживаются у застрахованного, хотя нет покрытия от сбоев, вызванных общим срывом международных отношений или торговых сделок.
«На рынке существует программа страхования цепочки поставок, которая производила бы выплаты компании, если ее зарубежный поставщик обанкротился или ему было запрещено отгружать свои товары. Но как бы ни была полезна страховка цепочки поставок, она на самом деле не завоевала популярность. Я знаю очень мало клиентов, которые действительно купили такое покрытие», - отметил Эллис.
Оценка цепочки поставок
В конечном счете, преодоление каждого из указанных рисков BI требует глубокого понимания цепочек поставок, причем не только рисков, с которыми сталкиваются прямые поставщики и получатели, но и рисков второго, третьего и последующих уровней.
«Вы не можете успокоиться и предполагать, что у ваших поставщиков все под контролем», - сказал Кац. «Вы должны строить отношения, чтобы выяснить, что вы можете узнать о своих поставщиках и даже их поставщиках, если они предоставляют критически важный продукт или услугу».
Ценная информация может включать в себя зависимость поставщика от поставщиков из одного источника, прямое и косвенное воздействие неблагоприятных погодных условий и их планы по обеспечению непрерывности бизнеса.
«Пройдите глубже и выясните, где вы вписываетесь в их планы обеспечения непрерывности бизнеса. Например, если они снизят производительность до 50%, они сделают поставку вам или установят приоритеты для других своих клиентов в первую очередь?»,- добавил Кац.
Большинство респондентов, участвовавших в опросе BCI по цепочке поставок, сказали, что они спрашивают новых и существующих поставщиков об их планах по обеспечению непрерывности бизнеса, и почти половина респондентов ответили, что более 60% их поставщиков имеют механизмы для устранения сбоев.
Тем не менее, остается много пробелов и заставить поставщиков или получателей раскрыть информацию о должной осмотрительности в управлении рисками, мерах кибербезопасности или рисках их собственных цепочек поставок - непростая задача.
«Большинство компаний до сих пор не изучают свою подверженность второму или третьему уровням своих цепочек поставок, и многие страховщики по понятным причинам стремятся избежать наложения этих рисков», - сказал Эллис.
Однако это не означает, что условные риски BI не могут быть адекватно покрыты. Страховщики, которые используют слово «прямой» или «первичный» для ограничения покрытия, готовы писать покрытие / подлимиты поставщикам, находящимся глубже в цепочке поставок, если застрахованный предоставляет достаточную информацию об этих компаниях, пояснил он.
Страховщики часто предлагают от 25 до 50 миллионов долларов США для покрытия CBI, включенного в их программу страхования имущества от всех видов риска. Но, если клиент хочет более высокий лимит, то он обязан предоставить страховщику более подробную информацию о конкретных поставщиках, ответственность которых он хочет покрыть, и обоснование для таких лимитов, такое, как, например, что они являются поставщиком из одного источника.
«Страховщик затем проверит на внутреннем уровне, пишет ли он уже эти риски напрямую, чтобы избежать чрезмерной подверженности на агрегированном уровне, а также необходимости проведения базовых андеррайтинговых оценок для этих объектов», - пояснил Эллис.
Но, по словам Кочиша, еще предстоит пройти долгий путь, даже между страхователями и их прямыми страховщиками, поскольку обмен информацией о BI часто является базовым, а потенциальное влияние BI на прибыль или доходы недооценивается. Он призвал к тому, чтобы обмен стандартизированной информацией о воздействии BI стал лучшей практикой на рынке для повышения прозрачности в передаче рисков.
«Мы не хотим увеличивать объем анализируемых данных, но нам нужны правильные данные, которые были бы полезны для оценки потерь, как в случае для материального ущерба, так и для прерывания деятельности, как мы их имеем сегодня, но также включая надежную оценку взаимозависимостей».
Оценка риска
В среде, где полная видимость кажется несбыточной мечтой, для менеджеров по управлению рисками целесообразно сосредоточиться на основных моментах, начиная с определения наиболее важных для них продуктов, поставщиков и получателей, разработки планов обеспечения непрерывности бизнеса и коммуникационных стратегий, а также создания резервов, где это возможно.
Это может включать поиск альтернативных поставщиков или даже альтернативных методов производства, хотя в сегодняшнюю эру «бережливого производства» меньшее количество компаний может оправдать создание дополнительных запасов или альтернативных мест производства на случай сбоев. «Отделы закупок нацелены на то, чтобы сделать производство более экономичным и эффективным, но снижение затрат часто увеличивает риски», - сказал Кочиш.
Кац посоветовал компаниям рассмотреть, какие продукты и услуги оказывают наибольшее влияние на ключевые факторы эффективности, такие как потенциал роста, выручка и маржа прибыли, и провести анализ влияния этих факторов на бизнес, чтобы установить потенциальные последствия от сбоев отдельных поставщиков как в отдельности, так и в сочетании.
Все эти процессы должны регулярно пересматриваться. По словам Кочиша, поскольку внутренние и внешние производственно-сбытовые цепочки становятся не просто более сложными, но и более динамичными, даже ежегодные аудиты подверженности риску могут быть слишком редкими: «В качестве дальнейшего пути устойчивостью нужно управлять не после этапа проектирования цепочки поставок, а одновременно».
Существуют инструменты, которые помогают компаниям составить карту матрицы рисков своей цепочки поставок. Например, консультант по бизнес-стандартам BSI предлагает специализированную услугу по управлению рисками цепочки поставок, в том числе технологию мониторинга на основе веб-технологий, в то время как механизм моделирования Verisk предлагает планирование сценариев в реальном времени: оценку для конкретного участка, моделирование оптимизации сети и анализ влияния на процесс, а также аналитику, позволяющую компаниям оценивать, отслеживать и прогнозировать глобальные риски, включая геополитические и социальные риски.
Страховщики и брокеры тоже заняты разработкой запатентованной технологии, чтобы помочь себе и своим клиентам лучше контролировать свои риски.
BCI обнаружил, что 38% компаний используют такие технологии, как индикаторы анализа рисков, для прогнозирования, мониторинга, регистрации, измерения и составления отчетов о нарушениях цепочки поставок, влияющих на производительность, автоматизированных систем связи и уведомлений, программного обеспечения для обеспечения непрерывности бизнеса и платформ управления инцидентами. Тем не менее, по данным BCI, в настоящее время малые и средние предприятия отдают предпочтение платформам социальных сетей, а не программному обеспечению для обеспечения непрерывности бизнеса.
Кочиш считает, что инструменты обеспечения непрерывности бизнеса должны быть разработаны не только для менеджеров по управлению рисками и страхованию, но и более целостно для закупок и топ-менеджмента.
Топ-менеджмент – это те, кто проектирует производственный процесс и стоимость. Чтобы получить конкурентное преимущество, организация должна управлять затратами, инновациями, а также рисками. Стоимость и риск должны быть просчитаны вместе. Но в настоящее время нет инструментов, которые демонстрировали бы связь стоимости и устойчивости в упрощенном виде и поддерживали бы организационные изменения.
Поскольку обоснование затрат на внешние инструменты часто сложно для менеджера по рискам и групп по обеспечению непрерывности бизнеса, сотрудничество между функциональными подразделениями жизненно важно.
«Команды должны преодолевать функциональные и информационные барьеры, чтобы работать вместе, используя общую картину угроз для организации и ключевые активы, такие как люди, здания, ИТ-системы и защита бренда, с единой группой реагирования и планом», - прокомментировал BCI соавтор исследования непрерывности Оуэн Майлз, технический директор Everbridge, поставщика решений для обеспечения безопасности предприятия.
Благодаря тому, что 83% респондентов в настоящее время располагают специальными сотрудниками, занимающимися вопросами непрерывности бизнеса, в этом вопросе наблюдается прогресс.
Подготовлено порталом Allinsurance.kz по статье Антони Аэланда (Antony Ireland )