04 травня 2021, 13:41

Бізнес у контексті загроз і ризиків

Опубліковано в №9 (739)

Віктор Панчак
Віктор Панчак CPP®, віце-президент компанії SK Security, голова правління ASIS International в Україні, член правління Асоціації професіоналів корпоративної безпеки України (АПКБУ)
Сергій Грабський
Сергій Грабський керівник служби безпеки представництва Світового банку в Україні, співголова консультативної ради з безпеки OSAC Ukraine

Ділова активність та бізнес в Україні у 2020–2021 рр., беззаперечно, увійдуть у новітню історію нашої держави як такі, що функціонують в умовах цілковитої невизначеності, комплексних безпекових ризиків та соціально-економічної непередбачуваності. За такої ситуації критично важливим стає питання належної готовності бізнесу реагувати на надзвичайні події, що можуть бути пов’язані з різними чинниками: від подальшого погіршення ситуації з глобальною пандемією до можливої ескалації військової загрози на північно-східних, східних та південних кордонах держави тощо. Саме тому зараз надзвичайно важливо подумати про те, як саме бізнес реагуватиме на такі виклики, якщо вони стануть критично небезпечними і вимагатимуть невідкладних дій із захисту власників бізнесу, працівників, майна чи активів.


Маєте Телеграм? Два кліки - і ви не пропустите жодної важливої юридичної новини. Нічого зайвого, лише #самасуть. З турботою про ваш час!


Метою цієї статті є аналіз питань, пов’язаних з можливими алгоритмами реагування на зміну рівня загроз і критичних ризиків для функціонування бізнесу, а також розгляд основних алгоритмів підготовки компанії до перебування у станах гібернації, релокації та евакуації. Спробуємо узагальнити кращі міжнародні практики та алгоритми, що використовуються глобальною безпековою спільнотою (ASIS International, OSAC) в частині розробки планів забезпечення безперервності ведення бізнесу (Business continuity plan, BCP) та планів дій в умовах надзвичайних ситуацій (Special situation management plan, SSMP). При цьому авторами статті подається виключно власна думка щодо базового інструментарію, який може стати основою для розробки директив і процедур, що регламентуватимуть невідкладні дії компанії, найбільш характерні для стадій гібернації, релокації чи евакуації персоналу та майна у відповідь на загрозу, що виникла.

Стан гібернації

Гібернація (від англ. hibernation — сплячка, заціпеніння) — це формат рівня зовнішньої загрози бізнесу, за якого співробітники залишаються вдома, і у кризовий період відбувається тимчасове (короткострокове) призупинення переважної більшості або всіх операцій. При цьому на підприємстві може залишатись обмежена група працівників з метою забезпечення підтримки мінімальної життєдіяльності критичних процесів, систем управління процесами, функції охорони тощо. Типовими прикладами необхідності активації стану гібернації бізнесу є техногенні катастрофи, природні катаклізми та інші форс-мажорні обставини, а алгоритми реагування на них, як правило, деталізуються у окремих внутрішніх планах BCP та SSMP.

При цьому нагадаємо, що відповідно до концепції управління ризиками корпоративної безпеки (Enterprise security risk management, ESRM), роль керівника служби безпеки компанії у частині ідентифікації та пріоритезації ризиків полягає не лише в тому, щоб усвідомлювати та володіти ризиками, а й у тому, щоб належним чином направляти власника активу в процесі прийняття рішень з управління ризиками. Це вкрай важливо з огляду на прив’язку активів компанії до таких ризиків, у першу чергу, під час запровадження та роботи у стані гібернації.

Серед рекомендованих для бізнесу практик під час цієї фази можна виділити (але не обмежуватись) наступні:

  • розробка та підготовка до електронного надсилання проєктів внутрішньої комунікації працівників з описом алгоритмів базових дій, каналів підтримки зв’язку тощо. Аналогічні проєкти комунікації повинні бути розроблені і для ключових постачальників, клієнтів та партнерів;
  • створення та зберігання на об’єкті певних запасів продовольства, води та предметів першої необхідності для команди підтримки критичної інфраструктури та життєдіяльності підприємства на узгоджений внутрішніми процедурами період. Такі запаси мають бути компактні й придатні до вживання і використання (не швидкопсувні і не заморожені). Їх слід зберігати в місцях, що найбільш стійкі, наприклад, до сейсмічної активності і водночас захищені від ймовірної крадіжки за умов звичного режиму функціонування підприємства;
  • забезпечення наявності на об’єктах укриття (т.зв. safe haven) для визначеного персоналу з метою збереження життя у випадку дій, пов’язаних з військовим конфліктом, терористичною загрозою або техногенним (природним) лихом;
  • встановлення обладнання екстреного зв'язку в місці управління гібернацією, що слугуватиме тимчасовим ситуаційним центром для команди підтримки критичної інфраструктури та життєдіяльності підприємства на період гібернації. Зокрема, слід передбачити щонайменше наявність активованих сім-карт мобільного зв’язку та телефон супутникового зв’язку;
  • наявність опції підключення резервних систем живлення (генераторів) і відповідні запаси пального;
  • забезпечення комунікації з банками та наявності плану (алгоритму) виплати співробітникам зарплати готівкою, а також створення готівкового резерву коштів;
  • завчасне оновлення мобілізаційних списків та наявність реєстрів заміщення співробітників на критичних позиціях, у т.ч. в команді підтримки інфраструктури та життєдіяльності підприємства. Цей персонал має пройти відповідні тренінги з реагування у разі надзвичайних ситуацій, у т.ч. з надання першої долікарської медичної допомоги потерпілим;
  • створення резервних копій критичної інформації та готовність до активації спеціальних процедур роботи з документацією відповідно до внутрішніх політик і планів BCP та SSMP;
  • забезпечення щоденної взаємодії та комунікації за посередництва антикризового комітету, в т.ч. з ключовими внутрішніми стейкхолдерами, менеджерами, а також колегами по ринку.

Для кожного підприємства критично важливо визначити ті «тригери», які можуть вплинути на прийняття бізнесом рішення про визначення рівня загрози, зокрема коли йдеться про активацію іншого стану, аніж гібернація. Коли мова заходить про ескалацію збройного конфлікту, військові дії, надзвичайні ситуації у розрізі перманентної терористичної діяльності тощо, слід говорити вже про стан релокації бізнесу.

Стан релокації

Релокація (від англ. relocation — переміщення, передислокація) — це формат рівня зовнішньої загрози бізнесу, за якого активуються процеси переміщення офісів та/або видів діяльності з небезпечного району в більш безпечне місце, як правило, на тимчасовій основі і в межах однієї країни.

Практика ринку корпоративної безпеки свідчить, що чимала кількість транснаціональних корпорацій дотримуються принципів так званої політики вільного переміщення (Free-to-go policy), відповідно до якої працівники мають переважне право самостійно приймати рішення про особисту релокацію, якщо їх індивідуальне відчуття ризику є домінуючим. Разом з тим, всі працівники компанії повинні бути належно інформовані про політику організації у випадках, коли може знадобитися активація стану релокації. При цьому процедура визначення персоналу, що підлягає рекомендованій релокації (або евакуації), буде варіюватися залежно від організації та змісту, а також може змінюватись через на додаткові чинники, такі як роль працівника у компанії, досвід, форма трудового контракту, зміст діючих кадрових процедур тощо.

Коли зовнішні ризики стають критичними, і забезпечення безпеки функціонування бізнесу на окремо взятій території стає загрозливим через можливу ескалацію бойових дій чи інші чинники військового характеру, антикризовим комітетом організації має прийматись рішення про запровадження стану тимчасової релокації. Зазвичай на практиці існують два основні її типи:

  • тактична релокація — короткострокове (до 30 днів) переміщення бізнесових операцій та визначених критичних стейкхолдерів, перелік яких заздалегідь встановлюється під час аудиту з безпеки та формалізується у вигляді окремих додатків до процедур управління надзвичайними ситуаціями;
  • стратегічна релокаціяподовжене (від 30 днів і більше) переміщення бізнесових операцій та визначених критичних стейкхолдерів.

Серед рекомендованих практик для бізнесу під час фази релокації можна виділити (але не обмежуватись) наступні:

  • заздалегідь визначити напрямки та місця, куди слід виконувати тимчасове переміщення, якщо локація організації або конкретний регіон стануть критично небезпечними для подальшого функціонування бізнесу. Такі потенційні місця можуть включати:
  • існуючі (за наявності) відділення та представництва компанії у інших регіонах країни, що віддалені від зони конфлікту;
  • локації партнерських компаній чи їх представництв, що розташовані у більш безпечних районах країни;
    • інші приміщення та об’єкти, що відповідають вимогам безпеки (встановлюються у ході попередніх аудитів безпеки);
    • рекомендації, що описані у цій статті для стану гібернації, не менш критичні і для об’єктів функціонування бізнесу на стадії тимчасової релокації, тому залишаємо і їх актуальними;
    • плани та розрахунки для здійснення тактичної та стратегічної релокації мають бути розроблені заздалегідь із визначенням маршрутів та засобів переміщення (видів транспорту). Як правило, доцільно розробляти кілька варіантів переміщення;
    • переконайтеся, що засоби комунікації, інтернет та канали зв’язку на новому місці облаштовані належним чином та функціонують з дотриманням вимог безпеки і технічного захисту;
    • підтримуйте щоденний зв'язок з персоналом, який не потрапив у перелік осіб для релокації, щоб люди не відчували себе покинутими.

Вкрай важливим є і оновлення плану дій компанії на випадок можливого погіршення ситуації вже на новому місці тимчасового функціонування бізнесу. Власне, за таких обставин і буде рекомендовано активувати стан евакуації бізнесу.

Стан евакуації

Евакуація (від англ. evacuation — виведення) — це формат рівня зовнішньої загрози бізнесу, за якого активується процес зупинки операцій всередині країни та здійснюється процес виведення експатів, іноземців і ключових стейкхолдерів (за потреби) в іншу державу, а місцевого персоналу — з районів дислокації у місця проживання чи тимчасового перебування.

Алгоритм дій у випадку евакуації досить складний і зазвичай потребує залучення до розробки професійних зовнішніх консультантів, які мають відповідний досвід та компетенцію. Фази підготовки такого алгоритму включають щонайменше наступні обов’язкові кроки:

  • проведення первинного аудиту евакуаційної та антитерористичної безпеки підприємства;
  • аналіз даних, отриманих у ході аудиту, їх систематизація та формування різнофункціональних списків і реєстрів;
  • проведення підготовчих заходів, необхідних для подальшої організації та забезпечення фізичної безпеки при проведенні евакуації;
  • розробка та погодження плану евакуації відповідно до категорій і груп учасників.

Жоден план, навіть найбільш досконалий, структурований і детально описаний, не буде ефективним без тестування на практиці, тому ця частина евакуаційного плану має бути доповнена відповідним навчанням та практичною реалізацією, за підсумками якої вносяться необхідні коригування.

Серед рекомендованих практик для бізнесу під час фази евакуації можна виділити (але не обмежуватись) наступні:

  • евакуація міжнародного персоналу (експатів, іноземців тощо), а також власників та ключових стейкхолдерів має здійснюватись із залученням спеціалізованих безпекових сервісних провайдерів відповідно до заздалегідь розроблених і практично перевірених алгоритмів;
  • не слід зосереджуватись виключно на евакуації міжнародного персоналу: локальні працівники, особливо ті, які потрапляють під категорію переміщених (або не місцевих) осіб, зазвичай піддаються чи не більшому ризику, аніж іноземці;
  • переконайтеся, що місцевий персонал завчасно ознайомлений з «політикою вільного переміщення» і усвідомлює свої подальші кроки, пов’язані з діями під час евакуації;
  • наголосіть на необхідності завчасного розуміння того, що конкретно покриває страховий поліс працівника (за його наявності);
  • виплатіть співробітникам зарплату готівкою щонайменше з розрахунку календарного місяця;
  • встановіть основні канали комунікації зі співробітниками, котрі залишилися поза межами дії евакуаційних планів.

На завершення хочемо ще раз наголосити про критичну важливість розуміння повноти та серйозності ситуації, пов’язаної з оцінкою бізнесом ймовірних загроз у контексті геополітичних, соціально-економічних та військово-мобілізаційних ризиків, які постають перед нашою державою. Тож довіряйте якість безпеки свого бізнесу та особисту безпеку професіоналам, які обрали її захист справою свого життя і честі. Адже золоте правило безпекової індустрії вчить, що за безпеку потрібно платити, а за її відсутність — розплачуватись…

0
0

Додати коментар

Відмінити Опублікувати