Twoja firma opracowała plany ciągłości działania? To wcale nie musi oznaczać, że jesteś przygotowany na przerwanie działalności!
Stabilne funkcjonowanie organizacji to możliwość zarabiania pieniędzy, ale i gwarancja stabilności dla klientów i kontrahentów. Organizacje uświadamiające sobie potencjalne konsekwencje przerw w działaniu próbują się przygotować na takie sytuacje. Pierwszą oznaką myślenia o ciągłości działania jest opracowanie Planów Ciągłości Działania (PCD) dla organizacji albo DRP (Disaster Recovery Plan) dla infrastruktury informatycznej. Po opracowaniu planów bardziej świadome i zaangażowane w zagadnienia ciągłości działania organizacje testują opracowane plany, przeprowadzają symulacje i ćwiczenia. Testowanie zazwyczaj obejmuje przeglądy planów, czasami organizowane są ćwiczenia wybranych fragmentów planów, sporadycznie symulowane jest uruchomienie całego planu. Po testach wyciągane są wnioski, plany są aktualizowane i cykl zaczyna się od nowa. Kierownictwo jest przekonane, że ich organizacja jest odporna na zakłócenia (mają przetestowane plany!) i w związku z tym mogą zająć się kolejnymi wyzwaniami. Czy rzeczywiście tak jest…?
Gdzie możemy stracić najwięcej?
Jeżeli organizacja zamierza poważnie potraktować kwestie ciągłości działania to jej pierwszym krokiem powinno być ustalenie obszarów, których przerwanie spowoduje wystąpienie największych strat. Obszarami tymi mogą być procesy, produkty lub usługi świadczone przez organizację.
Do tego celu służy analiza wpływu na biznes (BIA – Business Impact Analysis). Podczas BIA identyfikowane są procesy oraz straty (finansowe i inne), jakie spowoduje przerwanie tych procesów, w zależności od czasu trwania przerwy.
Efektem BIA jest uszeregowanie analizowanych procesów wg strat, jakie mogą mieć miejsce po wystąpieniu zakłócenia. Następnie kierownictwo podejmuje decyzję, jaki poziom strat jest w stanie zaakceptować, co prowadzi do wyznaczenia MTPD (Maksymalny Tolerowany Czas Trwania Zakłócenia – Maximum Tolerable Period of Disruption) dla każdego z analizowanych procesów. W ten sposób identyfikowane są kluczowe procesy dla organizacji, czyli procesy, których przerwanie wiąże się z ponoszeniem największych strat.
Co może spow
odować przerwanie działalności firmy?
Dla kluczowych procesów należy ustalić, co może doprowadzić do ich przerwania. Najlepszą ochroną przed zakłóceniem jest wyeliminowanie możliwości jego wystąpienia. Analiza ryzyka umożliwia wskazanie ryzyk dla ciągłości działania. Znając ryzyka organizacja może je minimalizować poprzez zastosowanie zabezpieczeń, transfer ryzyka, unikanie lub jego akceptację.
Co dalej?
Na podstawie wyników BIA (kluczowe procesy) oraz analizy ryzyka (zagrożenia) ustalana jest Strategia Ciągłości Działania, czyli podejście organizacji, które zapewni wznowienie działania i utrzymanie jej ciągłości w razie zakłócenia działalności. Strategia wskazuje strategiczne oczekiwania, które muszą zostać spełnione – mogą one obejmować np. konieczność posiadania centrum zapasowego, lub konieczność zapewnienia działania minimum 1 oddziału na województwo itp.
Plany ciągłości działania
I dopiero teraz organizacja może przystąpić do opracowania planów ciągłości działania, które zapewnią wznowienie kluczowych procesów (BIA) zgodnie z wyznaczonymi przez Strategię ramami działania.
Cały proces wygląda następująco:
Podsumowanie
Opracowanie Planów ciągłości działania stanowi uwieńczenie procesu tworzenia odporności organizacji na zakłócenia. Plany, których przygotowanie nie zostało poprzedzone analizą BIA oraz analizą ryzyka mogą nie być adekwatne do rzeczywistych zagrożeń, a więc być nieskutecznymi. Osobnym tematem jest kwestia wdrożenia planów, uświadomienie pracowników, współpracowników i innych stron zainteresowanych.
Opisane zasady postępowania bazują na wymaganiach najnowszego standardu ISO dotyczącego zarządzania ciągłością działania ISO 22301:2012, który zastąpił normę BS 25999-2:2007.
Organizacje, które w ten sposób budują swoją odporność na zakłócenia mogą śmiało powiedzieć, że zarządzają ciągłością działania.
Waldemar Gełzakowski
Konsultant, audytor i trener
Artykuł ukazał się w magazynie „FAKTY”,
wydanie z przełomu listopad/grudzień 2012
