A brit titkosszolgálat, az MI5 a következőt írta a miniszterelnöki kabinetirodának egy terrorelhárításról szóló 2005-ös jelentésében: „Minden évben majdnem minden ötödik vállalkozás jelentős működési zavart szenved el, és széles körben úgy gondolják, hogy e zavarokkal foglalkozni jó üzleti érzék kérdése. A hatékony üzleti folytonosság tervezése kritikus abból a szempontból, hogy a szervezetek alapvető funkciói tovább működhessenek vészhelyzet esetén is."
Forrás:KPMG
A vészhelyzetek megoldásához James Bondot is ki lehet hívni, de talán jobb észben tartani, hogy minden terv annyit ér, amennyit megvalósítanak belőle. Úgy is mondhatnánk, hogy megfelelő menedzsment nélkül az alapfunkciók működésének fenntartása vagy gyors helyreállítása elképzelhetetlen. A működési zavarok (közöttük a természeti katasztrófák, a kulcsemberek elveszítése, a szervezet elleni rosszindulatú támadások vagy éppen a véletlen balesetek) kivédésére csak akkor van esély, ha ezzel folyamatosan és rendezett keretek között foglalkoznak.
E tevékenységben vannak olyan kulcstényezők, amelyekre újra és újra vissza kell térni. Így rendszeresen vizsgálni kell, hogy a működéshez nélkülözhetetlen funkciók leállásának milyen hatása van az üzletre. Hasonló rendszerességgel kell értékelni a fenyegető kockázatokat. Ha új kockázatok jelennek meg, akkor azt is vizsgálni kell, hogy a kialakított védekezési és helyreállítási eljárások megfelelő választ tudnak-e adni ezekre, s ha nem, úgy mit kell megváltoztatni. A kockázatokról és fenyegetésekről folyamatosan kommunikálni kell, az alkalmazottak gyakorlatozásai során kell kipróbálni a védekezési eljárásokat, illetve rendszeresen tesztelni és auditáltatni kell a terveket. Ez így együtt elég macerásnak hangzik.
Talán ez volt az oka, hogy a KPMG 2011-es BCM-felmérése idején a magyar vállalatok több mint kétharmadának még nem volt kész és működőképes üzletfolytonossági modellje. Egy év alatt azonban nagyot javult a helyzet. A tanácsadó cég 2012 végén publikált jelentése szerint a vizsgált cégek kétharmadának volt már működőképes BCM-keretrendszere. Nagyon örülni azonban még nem érdemes, mert e rendszereket csak ritkán tanúsítják BCM-specifikus szabványok (pélául az ISO 22301:2012) szerint, elvétve találkozni dedikált BCM-költségvetéssel, továbbá a BCM-keretrendszert kiépítők 60 százaléka szkeptikus annak működőképességét illetően. A bizonytalanságot részben az okozza, hogy a válaszadók fele még nem kényszerült a tervei használatára, így nem tudni, hogy azok jók-e, de a terveket nem is auditáltatták, ezért független szakértői vélemény sincs a birtokukban.
A tervek minősége valóban felvet kérdéseket, hiszen a KPMG szerint azoknak a cégeknek a negyede, amelyeknek van üzletfolytonossági keretrendszerük, nem készítette el üzletihatás-elemzést (BIA) sem. Nem világos tehát, hogy mire alapozták terveiket, mégis 41 százalékuk szerint stabil és működőképes a BCM-jük.
Ha a reményeket meghaladják a kétségek, érdemes pár ellenőrző kérdést feltenni. A legfontosabbak a következők: a BCP átesett felülvizsgálaton vagy teszten az elmúlt egy évben? Van a BCP-ben egy olyan jelzőérték, amelynek a túllépése aktiválja a tervet? Részt vesz-e a stáb rendszeres tréningeken, ahol a terv végrehajtását gyakorolja? Van olyan felsővezető, aki elkötelezett a BCM mellett? Van kijelölt BCM-vezető a cégnél? A terv jól dokumentált és könnyen elérhető azon munkatársak számára, akik érintetté válnak az aktiválódásakor?
Az Európai Unió hálózati és információbiztonsági ügynöksége, az ENISA meghatározta, hogy miféle tényezők hatásai miatt kell elsősorban vigyázni, és üzletfolytonossági menedzsmentet alkalmazni. Először is azoknak a vállalatoknak kell ébernek lenniük, amelyek jogi és szabályozási oldalról vannak kitéve veszélyeknek. Ezek a szervezetek ugyanis olyan bizalmas, illetve személyes ügyfél-információkat tartanak, amelyeknek a kezelésére kötelező törvényi előírások vonatkoznak. Az adatok elvesztése vagy megsemmisítése miatt a szabályozó testületek jelentős bírságot szabhatnak ki. Illetve ha az ügyfelek nem férnek hozzá ezekhez az adatokhoz az előírt szinten és ez üzleti veszteséget okoz a számukra, az perek forrása lehet.
A termelékenység is fontos tényező. A szolgáltatások és a működési folyamatok nagymértékben függenek az információs rendszerektől, az alkalmazásoktól és a külső szolgáltatásoktól. Ha megszakadnak ezek a szolgáltatások vagy működési folyamatok, az elviselhetetlen termelékenységcsökkenést eredményezhet. Emiatt pedig jelentős költségek és erőfeszítések szükségesek az üzleti tevékenység helyreállításához és a piaci veszteség eltüntetéséhez – mondja az ENISA.
A szervezet szerint a pénzügyi stabilitás veszélyeztetésére is figyelni kell, mert ha nem lehet elérni egy cég termékeit vagy szolgáltatásait, az kevesebb, mint egy nap alatt jelentős egyszeri pénzügyi veszteséghez vezet, ami nem tolerálható. A vállalatok egy része ma már folyamatosan online szolgáltatásokat nyújt, vagy az interneten kereskedik. Ha elvész az online jelenlét, annak közvetlen pénzügyi veszteség a vége. De hatalmas bírságot vonhat maga után, ha a cégek nem tartják be a jogi és szabályozási követelményeket, s ez szintén elviselhetetlen pénzügyi veszteséget okozhat.
Az ENISA végül felhívja a figyelmet, hogy bajba kerülhetnek azok a társaságok is, amelyek a hírneve sérül, és vele együtt oda lesz a fogyasztói bizalom is. Ha egy szolgáltatás nem működik, az közvetlen hatást gyakorol a cég reputációjára, ami pedig kevesebb termék és szolgáltatás megvásárlását eredményezi.
Tíz fontos lépés
Az Attainium amerikai szakcég szerint a következő tíz lépéssel el lehet jutni a megfelelő üzletfolytonossági terv felállításához.
1. lépés: Meg kell szerezni a felsővezetők támogatását, és elfogadtatni velük, hogy szükség van az üzletfolytonossági tervre. Illetve rá kell venni a vezetőket, hogy erről győzzenek meg mindenkit a szervezet minden szintjén.
2. lépés: A kulcspontok azonosítása és számszerűsítése nélkül nem lehet elkezdeni a folyamatot. Ezért a vezetőknek fel kell tenniük a kérdést, hogy melyek a szervezet legfontosabb üzleti funkciói, és ezek közül melyek nélkülözhetetlenek a működés fenntartásában. A különböző részlegek irányítóinak a saját fennhatóságuk alatt lévő területen azonosítaniuk kell e funkciókat, amelyeket a lehető leghamarabb újra kell indítani, helyre kell állítani, s arra kell tervet készíteni, hogy ezt miként lehet elérni a lehető leghamarabb.
3. lépés: Aktív kockázatkezelésre van szükség, amely a cég létesítményeit fenyegető potenciális veszélyek felmérésével, azonosításával kezdődik. A vezetőknek ezért át kell gondolniuk az épületek elhelyezkedését. A kockázat nagyságát a valószínűség és a várható behatások mértékének szorzata adja. Ezzel az egyenlettel közelebb lehet jutni azokhoz a katasztrófákhoz és fenyegetésekhez, amelyekkel az üzletfolytonossági tervnek foglalkoznia kell.
4. lépés: Ha nyakunkon a baj, az első teendők listája leegyszerűsödik, mert csak egyetlen fókusz marad – az emberek és az egészségük védelme, illetve szükség esetén kimentése.
5. lépés: Világos parancsnoki struktúra kialakítására van szükség, hogy mindenki ismerje az intézkedésre feljogosított személyeket. Ez a feltétele, hogy a helyreállítási műveleteket gyorsan és hatékonyan végre lehessen hajtani. A professzionális katasztrófa-elhárításnál a parancsnoki lánc általában hat ember mélységű, amely a legfőbb irányítótól az elhárítás frontvonalában lévőkig tart.
6. lépés: A gyakorlatozás a siker záloga. Ezzel lehet elérni, hogy a munkatársak emlékezzenek a teendőikre a katasztrófa bekövetkezésekor, vagy más váratlan, működési zavarokat okozó helyzetekben, illetve az irányítók vészhelyzetben a megfelelő intézkedéseket hozzák meg.
7. lépés: A fenyegetettség tudatosítása a vezetők feladata, mert ennek révén ösztönözhetők a munkatársak a nagyobb figyelemre, és a szervezet működésének szempontjából legfontosabb részlegekkel való együttműködésre a veszélyek megelőzésében.
8. lépés: Az üzletfolytonossági tervet karban kell tartani és a szükséges pontosításokat, változtatásokat ismertetni kell a szervezet tagjaival. A vezetőknek meg kell győződniük, hogy a terv helyesen reflektál a három kritikus elemre, azaz hatékonyan kezeli a változásokat a létesítmények és berendezések, az IT és az emberi erőforrások esetében is.
9. lépés: Minden rendellenesség és működési zavar után ellenőrizni kell, hogy a terv hogyan működött. Ehhez ki kell kérdezni az érintett munkatársakat és vezetőket, felül kell vizsgálni a folyamatokat és el kell végezni a szükséges módosításokat. A zavarok alatt szerzett tapasztalatok elemzésével el lehet dönteni, hogy egyszeri eseményről vagy valamiféle tendenciáról van-e szó, azaz miféle intézkedések szükségesek.
10. lépés: Mindenképpen el kell kerülni a pánikot. A pánik ugyanis – bármilyen jó az üzletfolytonossági terv és bármilyen sok munka és gyakorlatozás áll a hatékony végrehajtása mögött – lerombolhatja a gondosan elrendezett eljárásokat. Ez pedig egyet jelent a szükségesnél nagyobb, vagy sokkal nagyobb veszteségekkel és a normális üzletmenethez való lassúbb visszatéréssel.
