Upravljanje kontinuitetom poslovnih procesa

Danas je svaka organizacija izložena rizicima koji mogu potpuno onemogućiti funkcioniranje poslovnih procesa, ali i poslovanje organizacije u cjelini. Rizici se uvećavaju s činjenicom da informacijski sustavi igraju vitalnu ulogu u poslovanju mnogih tvrtki, a  prekidi u radu ključnih komponenti informacijskog sustava mogu ostaviti dublje posljedice koje se mjere visokim financijskim iznosima. Postupci i preventivne mjere koje se poduzimaju kada dođe do nepremostivog kvara opreme, prekida u radu tehničke infrastrukture ili katastrofalnih prirodnih nepogoda definiraju se u procesu upravljanja kontinuitetom poslovnih procesa.

Preventivne mjere koje se obično provode najčešće su djelomične, na rubu improvizacije i obuhvaćaju uglavnom tehnički dio informacijskog sustava. No, postupanje u takvim izvanrednim situacijama mora uzeti u obzir moguće posljedice na sve segmente poslovanja, ne samo informatičku strukturu. Upravljanje kontinuitetom poslovnih procesa mora biti dobro definiran i upravljiv proces, baziran na analizi rizika i ocjeni utjecaja potencijalnih nepogoda na sve poslovne procese. Svaki zaposlenik mora biti dobro upoznat sa svojom ulogom u izvanrednim situacijama, a svaka akcija, od proglašavanja izvanrednih situacija pa do pokretanja alternativnih modela poslovanja mora biti dobro uvježbana.

Izrada plana upravljanja kontinuitetom poslovnih procesa osnovni je korak koji neka organizacija mora poduzeti na putu do dobro definiranog i upravljivog procesa upravljanja kontinuitetom poslovnih procesa. S obzirom da je izrada plana ponekad kompleksnija i od samih mjera koje se njime predviđaju, mnoge organizacije odlažu ili izbjegavaju njegovu izradu.

Za upravljanje kontinuitetom poslovnih procesa do sada je najviše bila korištena metodologija propisana u osam profesionalnih praksi. Standardi su postavljeni kako bi ukazali na važnost svakog segmenta u implementaciji upravljanja kontinuitetom poslovnih procesa. Ukoliko bilo koji od segmenata ne bude dovoljno razrađen, postoji velika šansa da takvi planovi neće funkcionirati u praksi, ako stvarno dođe do nezgode ili katastrofe. Spomenute faze u upravljanju kontinuitetom poslovnih procesa su : 

1. Inicijacija i upravljanje projektom

   Upravljanje kontinuitetom poslovnih procesa zahtjeva da se promatra kao projekt, s jasnom strukturom i fiksno određenim tokom. Projekt u kojem će se znati što se želi postići, koji su koraci, koji su rokovi, resursi, odgovornosti, rizici i sl. Ovakav pristup je potreban jer postoji jako puno aktivnosti koje je potrebno obaviti, pa ukoliko nema sustavnog pristupa vjerojatno će nešto poći krivo.

2. Procjena rizika

   
   Procjena rizika nije ništa drugo nego analiza prisutnosti rizika od nezgode te pronalaženje mogućih mjera zaštite kako bi se ti rizici umanjili ili eventualno eliminirali. Naravno, nije sve rizike moguće umanjiti ili eliminirati, ali, primjerice, rizik od požara možemo umanjiti boljom protupožarnom zaštitom. U ovom koraku analizira se isplativost mjere zaštite s obzirom na njenu cijenu i nivo zaštite koji se postiže.

3. Analiza utjecaja na poslovanje

   
   Ovo je jedan od vrlo bitnih koraka u uvođenju kontinuiteta poslovanja, jer se tijekom njega analizira koje je maksimalno dopušteno vrijeme da ključni poslovni procesi organizacije ne funkcioniraju. Nužno je ispitati koliko brzo je potrebno uspostaviti poslovne procese ako dođe do njihovog prekida, a time će se dovesti do izražaja međuovisnost između različitih poslovnih procesa. Na primjer, većina poslovnih procesa će ovisiti o informatičkoj potpori, što znači da se taj poslovni proces ili funkcija morati prva obnavljati. Analiza utjecaja na poslovanje daje i određeni scenarij što će se dogoditi s pojedinim poslovnim procesima tokom vremena, odnosno do kojeg nivoa štete će doći.

4. Razvoj strategija oporavka poslovanja

   
   Strategija oporavka poslovanja određuje na koji način će se poslovanje oporaviti ukoliko dođe do nezgode. Jedno od rješenja može biti može biti uspostava alternativne lokacije s potrebnom informacijskom potporom te ručno obavljanje procesa. Tu dolazi do izražaja važnost analize utjecaja na poslovanje. Kvalitetnom analizom utjecaja na poslovanje i racionalnim pristupom odabiru strategije može se uštedjeti dosta novca, a pri tome održati potreban nivo sigurnosti poslovanja.Plan odziva u slučaju nuždePlan odziva u slučaju nužde definira što će napraviti pojedini zaposlenici u slučaju da nastupi nepogoda, zatim na koji način je potrebno ograničiti incident odnosno eventualno ga umanjiti te kako zaštititi ljude i informacijske resurse. Postupci određeni ovim planom trebaju se aktivirati neposredno nakon pojave nepogode.

5. Razvoj planova kontinuiteta poslovanja

   
   U planovima kontinuiteta poslovanja mora se precizno odrediti tko će raditi što, u kojim rokovima, s kojim resursima te s kojim odgovornostima. Cilj ovih planova je uspostaviti ključne poslovne procese u predviđenim rokovima.

6. Osviještenost i obuka djelatnika

   
   Ako djelatnici nisu svjesni zašto je planiranje kontinuiteta poslovnih procesa bitno, a istraživanja su pokazala da većina njih to nije, onda će ovakvim planovima pristupati previše ležerno. Organizaciji je cilj postići da djelatnici ovakav projekt shvate ozbiljno te je neophodno pronaći način da se privuče pažnja i prenesu neke ključne poruke. Pored toga,  potrebno je provoditi redovite obuke djelatnika kako bi isti znali kako se ponašati u slučaju nepogode, gdje mogu pronaći planove, kako ih izvršavati i sl.

7. Održavanje i vježbanje planova kontinuiteta

   
   Bez obzira na veliki trud koji se ulaže u pisanje planova kontinuiteta poslovanja, oni će u pravilu u nekim dijelovima uvijek biti neprecizni. Stoga ih je potrebno povremeno testirati, odnosno napraviti vježbe koje će što je moguće realnije simulirati prave situacije i tek će se u takvim situacijama vidjeti gdje planiranje nije bilo adekvatno i planovi će se shodno tome ispraviti.

Izradu dokumenta "Upravljanje kontinuitetom poslovnih procesa" financirao je Nacionalni CERT, i možete ga pročitati na službenim stranicama CERT-a.