Istraživanja provedena na Institutu za kontinuitet poslovanja (Bussines Continuity Institute – BCI) pokazala su da će u prosjeku 20% svih organizacija iskusiti neki oblik neplaniranog događaja barem jednom u svakih pet godina.

Analiza rizika (Risk Analysis – RA), kao i analiza utjecaja na poslovanje (Business Impact Analysis – BIA) ključni su alati za organizacije koje se suočavaju s pitanjem kako izgraditi strategiju nastavka poslovanja i oporavka od katastrofe (Business Continuity & Disaster Recovery – BCDR Strategy).

Planiranje kontinuiteta poslovanja je vrlo složen proces s često upitnim rezultatima. Puno jednostavnije je ne činiti ništa i nadati se da će se nezgoda dogoditi nekome drugom.

Za izradu učinkovite BCDR strategije potreban je angažman svih organizacionih jedinica organizacije. To je zapravo Cross-Functional projekt najšireg obujma. Kod velikih organizacija to je dugotrajan kružni proces sa stalnim revizijama i nadopunama.

No unatoč cijeni i potrebnim resursima za pripremu BCDR strategije organizacije sve više prihvaćaju kako je potrebno odgovoriti na veliki broj vrlo mogućih neželjenih događaja kao što je npr. terorizam, prirodne katastrofe, pandemije, ali i svakodnevne nepredviđene situacije poput dugotrajnijih gubitaka el. energije, gubitka komunikacija (telefonske i internet veze i sl.), itd.

Zašto je potrebno kreirati BCDR strategiju?

Jedini mogući odgovor na sve neželjene događaje je kreiranje BCDR strategije kao jedine korisne metodologija nužne za optimalno poslovanje u ekstremnim uvjetima. Neovisno o razlogu (priprema organizacije za inozemna tržišta, smanjenje štete u slučaju nezgode, adekvatna reakcija organizacije na nezgodu i sl.) uvođenje BCDR strategije ekonomski je racionalna odluka.

Određivanje unutarnjih i vanjskih rizika važno je za BCDR proces. Analizom rizika utvrđuju se rizici i vjerojatnost da će do nekog nepredviđenog stanja doći u budućnosti. Ova procjena rizika provodi se u kombinaciji s BIA, što pomaže kvantificirati potencijalne učinke poremećaja.

Organizacija koristi analizu rizika i BIA za određivanje BCDR strategije. Svaka BCDR strategija pretvara se u niz aktivnosti koje će pomoći u postizanju operativnog oporavka, kao što je npr. replikacija podataka, ne dostupnost usluga temeljenih na oblaku, aktiviranje alternativnih mrežnih ruta, kao i rad na daljinu.

Koji su motivi kreiranja BCDR strategije?

Glavni motivi razvoja BCDR strategije mogu uključivati zaštitu života i sigurnosti zaposlenika, osiguravanje dostupnosti usluga klijentima i zaštitu novčanih tokova kao i prihoda organizacije. Motiv također može biti bolje pozicioniranje na tržištu u odnosu na konkurenciju kao i upravljanje ugledom (Reputational Management). Navednei čimbenici su također vrlo važni ali nisu presudni za uvođenje BCDR strategije. Općenito se može reći kako organizacija koja je nesposobna zaštititi svoje zaposlenike kao i isporučiti svoje proizvode i/ili usluga neće privući najbolje zaposlenike i kvalitetne kupce, te će gubiti svoje konkurentne sposobnosti u odnosu na konkurenciju.

Regulatorni i tzv. “compliance” okvir osobizu financijskom ili zdravstvenom sektoru također utječe na organizacije u definiranju BCDR strategije. Organizacije moraju odvagnuti nekoliko čimbenika prije proglašenja katastrofe i pokretanja BCDR plana. Glavni među njima su očekivano trajanje zastoja, učinci prekida na organizaciju, te financijski trošak aktiviranja BCDR plana. U skladu s navedenim, vodstvo organizacije mora pažljivo odlučiti u kojim slučajevima aktivirati BCDR plan.

Uloga poslovnih procesa u pripremi izrade BCDR strategije

Upravljanje poslovnim procesima ima nekoliko osnovnih aktivnosti. 

Na prvom mjestu to je dizajn i modeliranje te mapiranje poslovnog procesa, zatim je to izvođenje procesa, te na kraju mjerenje uspješnosti procesa.

U prvoj fazi dizajna, poslovni proces se opisuje, dokumentira te se utvrđuje važnost i značaj određenih parametara u tom procesu. Također, u ovoj fazi se može identificirati određeni postotak ne efikasnih, kao i ne potrebnih i/ili suvišnih procesa ili nekih njihovih dijelova. Jednom opisani poslovni proces može poslužiti npr. za obuku novih djelatnika ili kao dio dokumentacije za dobivanje nekog industrijskog certifikata.

U drugoj fazi proces se počinje izvoditi na način koji je utvrđen modeliranjem i opisan mapiranjem. Tada se sudionicima u procesu omogućuje da budu produktivniji jer u određenom trenutku znaju koji koraci su potrebni, koje su ulazne vrijednosti parametara i koji su očekivani rezultati za bilo koji korak u procesu. Jedini način da se zna je li poslovni proces dobar ili nije, jest da ga se na neki egzaktni način prati i mjeri.

U trećoj fazi vrši se praćenje ili nadzor procesa. O svakom pojedinačnom procesu, obzirom na granu djelatnosti, te cilju koji se želi ostvariti mjeri se učinak procesa. U ovoj fazi određuju se ključni pokazatelji uspješnosti (Key Performance Indicators – KPI) čije će mjerenje kroz unparijed određeno vrijeme pokazati napredak ili nazadovanje samog procesa.

Kako izraditi BCDR strategiju?

Kako bi se lakše pristupilo izradi BCDR strategije organizacije mogu podijeliti BCDR strategiju u BC i DR komponentu.

Konkretno, plan kontinuiteta poslovanja (Business Continuity Plan – BCP) sadrži kontakt informacije, postupke upravljanja promjenama, smjernice o tome kako i kada koristiti plan, korak-po-korak (step-by-step) postupke, te raspored pregleda, testiranja i ažuriranja.

Plan oporavka od katastrofe (Disaster Recovery Plan – DRP) sadrži sažetak ključnih akcijskih koraka i podataka za kontakt, definirane odgovornosti članova tima, smjernice za korištenje plana, izjavu o pravilima DR, ciljeve plana, odgovor na incidente i korake oporavka, alate za provjeru autentičnosti, geografske rizike i povijest plana. DRP bi također trebao uzeti u obzir osoblje, osiguravajući da osoblje koje može izvršiti različite korake plana za mobilizaciju domaćih poslova uvijek bude dostupno za provedbu ključnih zadataka oporavka.

Dobri BCP i DRP planovi jasni su o različitim razinama rizika za organizaciju. Oni osiguravaju dobro definirane i provedive korake za otpornost i oporavak (resilience and recovery). Omogućuju zaštititu zaposlenika, objekata kao i eventualno robnih maraka organizacije, te komunikacijski plan. BCP i DRP su sveobuhvatne u detaljnim mjerama od početka do kraja.

Svaki od BCP i DRP planovi trebali bi uključivati:

Strategije prevencije (Prevention Strategies)

U ovom dijelu bio bi poželjno detaljno opisati sve radnje koje organizacija treba poduzeti kao preventivne mjere prije nekog nepredvišenog događaja. Prilikom izrade BIA-e, vjerojatno će se utvrditi mjesta na koje se može utjecati preventivnim zahvatima. To može uključivati korištenje pomoćnih usluga za neke poslovne procese kao i uspostavu alternativnih komunikacijskih mreža, itd.

Strategije odgovora (Response strategies)

Svaki odjel bi trebao imati detaljan plan za odgovore na hitne situacije. Ovdje je potrebno uključiti točno ono što bi svaki član tima za kontinuitet poslovanja trebao učiniti u slučaju nužde. Na primjer, ukoliko postoji opasna evakuacija, postupci i sigurnosni protokoli neophodni su za oporavak. Kada i kako će organizacija kontaktirati medije, javnost ili kupce također bi trebali biti navedeni kao dio plana poslovnih komunikacija.

Strategije oporavka (Recovery Strategies)

Nakon što je događaj obuzdan, fokus bi trebao biti stavljen na oporavak. Prmjer ovoga je operacionaliziranje alternativnog postrojenja koje bi organizacija mogla koristiti do povratka na redovno poslovanje.

Osnovni sadržaj BCDR strategije

Definiranje BCDR politika važan je početni korak. Politikom se utvrđuje temelj za proces i obično obuhvaća opseg sustava upravljanja kontinuitetom poslovanja, koji su zaposlenici odgovorni za njega, kao što su razvoj plana i BIA. Politikom bi se mogao uspostaviti i zajednički skup mjernih podataka, kao što su ključni pokazatelji uspješnosti i ključni pokazatelji rizika. Aspekt politike vrlo često se previdi prilikom izrade BCDR strategije, ali to je važna stavka revizije kontinuiteta poslovanja.

Razvoj BCDR strategije obično započinje određivanjem članova BCDR tima i provođenjem analize rizika i BIA-e. Organizacija identificira najkritičniji aspekte poslovanja, to jest koliko brzo i u kojoj mjeri poslovanje mora biti pokrenuto nakon incidenta. Nakon što organizacija propiše detaljne postupke, BCDR strategiju treba dosljedno testirati, pregledati i redovito ažurirati.

Iako određeni aspekti procesa uključuju odabrane članove organizacije, važno je da svi zaposlenici razumiju plan, te da su uključeni u njegovu provedbu u određenom trenutku. BCDR strategija bi trebala obuhvaćati i treće strane kao i njihove usluge koje pružaju. Banka se, na primjer, može osloniti na podatke koje tvrtka treće strane (dobavljač) isporučuje, tako da bi međusobni odnos trebao biti dokumentiran u BCDR strategiji. Takvi vanjski entiteti moraju biti u tijeku s osnovnim smjernicama BCDR strategije, tako da svi razumiju kako će proces  poslovanja funkcionirati ukoliko dođe do nepredviđenog događaja.

Ostali koraci na kontrolnom popisu planiranja BCDR-a uključuju smanjenje rizika i plan komunikacije u hitnim slučajevima. Potonji detalj metodu, ili metode, organizacija će koristiti za širenje informacija o hitnim slučajevima za zaposlenike, ali i za kupce i dobavljače.

Osnovni dio BCDR strategije je određivanje ciljnog vremena oporavka (RTO – Recovery Time Objective).

RTO je predviđeno vrijeme unutar kojeg se poslovni procesi moraju ponovno uspostaviti kako bi se izbjegle nepoželjne posljedice povezane s kontinuitetom prekida.

RTO se određuje od strane vlasnika procesa u fazi analize utjecaja na poslovanje (Business Impact Analysis – BIA) u suradnji s osobom koja izrađuje BCDR strategiju. Iznimno je važno nagalsiti kako je RTO cilj, a ne točno određena vrijednost.

Stvarna vrijednost u ovom kontekstu naziva se RTA (RTA – Recovery Time Actual), dok se razlika do RTO naziva “gap”. Do stvarne RTA vrijednosti se dolazi simulacijama ili vježbama, odnosno empirijski, u slučaju nastupa stvarnog prekida poslovanja.

Najvažniji dijelovi BCDR strategije

BCDR strategija mora odrediti čitav niz stavki, koje u slučaju nezgode služe za uspostavu normalnog poslovanja. Među najvažnije stavke BCDR strategije ubrajamo:

  • Ciljano vrijeme oporavka za pojedine poslovno kritične funkcije (RTO – Recovery Time Objective),
  • Minimalne obveze koje se moraju izvoditi tijekom nepredviđenog događaja – u kritičnim situacijama vjerojatno neće biti moguće izvoditi pun opseg redovnih aktivnosti, pa treba odlučiti koje su aktivnosti primarne, te one bez kojih se može uz procjenu štete njihovog ne izvođenja,
  • Kreiranje rezervne lokacije na kojoj će se ponovo uspostaviti svi poslovno kritični procesi, uključujući i neophodnu IT infrastrukturu, obradu podataka i sl.
  • Odrediti resurse koji će biti potrebni na rezervnoj lokaciji – ne samo IT resurse, već i HR resurse, računalne servise, te dokumente u papirnatom obliku i ostalu opremu,
  • Odrediti članove kriznog menadžmenta, te podijeliti zaduženja u situacijama nezgode.
  • Odrediti ciljanu točka oporavka za podatke, odnosno koliko unatrag će biti moguće rekonstruirati podatke ukoliko podaci budu uništeni u nezgodi. Ovaj zahtjev izravno određuje strategiju učestalosti izrade backup podataka.
  • Uspostaviti jedinstvene i kritične točke koje mogu prouzročiti prekid u radu. U preventivnim aktivnostima se treba fokusirati na to da se osigura bolja zaštita upravo tih resursa.
  • Odrediti izvor i način nabave sve potrebne opreme u slučaju nepredviđenog događaja (ICT oprema, namještaj, vozila, strojevi, itd.

Koje su prednosti uvođenja ISO 22301?

ISO 22301 propisuje najbolju međunarodnu praksu kako bi pomogao organizacijama odgovoriti na nepredviđene poremećaje te im omogućiti učinkoviti oporavak. To znači smanjenje troškova i manje utjecaja na poslovne rezultate ako nešto pođe po zlu.

Ostale pogodnosti uključuju:

  • ISO 22301 pomaže u zaštiti od nepredviđenih prijetnji kao što su prirodne katastrofe, terorističke prijetnje, IT kvarovi i još mnogo toga,
  • Pruža vam okvir za procjenu vaše radne snage i dobavljača te s njima povezanih rizika,
  • Smanjuje stanke u hitnim slučajevima, što dopušta vašoj organizaciji da popravi situaciju prema unaprijed određenim vremenskim okvirima jer se pojavi problem,
  • Pruža sigurnost da uz vježbe i radne površine možete izdržati sve prijetnje s kojima se vaša organizacija suočava,
  • Poboljšana poslovna učinkovitost i organizacijska otpornost,
  • Bolje razumijevanje svojeg poslovanja kroz analizu ključnih procesa poslovanja kao i područja eventualne ranjivosti.

ISO 22301 također daje jasan i detaljan prikaz načina na koji organizacija djeluje, nudi vrijedne uvide koji su korisni za strateško planiranje, upravljanje rizicima, upravljanje opskrbnim lancem, procesu poslovne transformacije i učinkovitom upravljanju resursima.