Zdá se vám tento scénář nepravděpodobný? Bohužel, podobné situace se stávají častěji, než byste čekali.
S přijetím nařízení Digital Operational Resilience Act (DORA) nabývá řízení kontinuity podnikání (Business Continuity Management, BCM) na zásadním významu, zejména v sektoru finančních služeb. DORA vyžaduje, aby finanční instituce a jejich dodavatelů zavedly robustní plány kontinuity a obnovy provozu (BCP a DRP). Politika kontinuity podnikání musí zahrnovat identifikaci kritických funkcí, hodnocení rizik, stanovení cílů obnovy (RTO, RPO) a pravidelné testování plánů kontinuity podnikání a havarijních plánů.
BCM je však relevantní pro všechny typy organizací, nejen ty regulované. Mezinárodní norma ISO 22301 stanovuje jasné požadavky na tvorbu, implementaci a údržbu systému řízení kontinuity podnikání, které pomáhají organizacím odolávat rizikům a minimalizovat dopady krizových situací.
Typické chyby při řízení kontinuity podnikání
1. Syndrom: „IT to vyřeší“
Mnoho firem považuje řízení kontinuity podnikání za záležitost IT oddělení. To vede k tomu, že plány jsou příliš technické a nezohledňují širší obchodní a provozní aspekty. Tento přístup také obvykle znamená, že IT oddělení vytvoří komplikovaný dokument, kterému zbytek organizace nerozumí.
Správný přístup do tvorby plánů zahrne všechny relevantní útvary, vytvoří multidisciplinární tým a formuluje plány v jazyce srozumitelném pro všechny zaměstnance. IT by mělo hrát roli odborného konzultanta, nikoli výhradního vlastníka procesu.
2. Chybějící analýza dopadů
Bez důkladné analýzy dopadů výpadku na podnikání organizace nemůže přesně identifikovat své klíčové procesy a jejich závislosti. Chybějící business impact analýza (BIA) vede k tomu, že priority obnovy jsou určovány spíše intuitivně, než na základě skutečných dat.
Pro správnou implementaci BIA je důležité:
Mapovat kritické procesy a jejich vzájemné závislosti.
Zapojit vlastníky procesů do hodnocení dopadů.
Analýzy pravidelně aktualizovat, aby odrážela aktuální provozní realitu.
3. Nerealistické požadavky byznysu
Stanovení cílů pro čas obnovy (RTO) a bod obnovy dat (RPO) bývá často přehnaně ambiciózní nebo naopak příliš obecné. Zejména, pokud nevychází z konkrétních informací a dat zjištěných v předchozím kroku.
Efektivní přístup vyžaduje analýzu technických možností, realistické posouzení byznysových potřeb a rozdělení systémů do prioritních skupin podle jejich kritičnosti.
4. Nedostatečné testování
Mít plán na papíře nestačí. Bez pravidelného testování organizace neodhalí jeho slabiny a není schopna připravit zaměstnance na skutečnou krizovou situaci.
Organizace by proto měly:
Zavést roční plán testování zahrnující různé scénáře.
Testovat nejen dílčí komponenty, ale i celkové řešení.
Vyhodnocovat výsledky testů a na jejich základě plány upravovat.
5. Ignorování dodavatelského řetězce
V době outsourcingu a masivního využívání cloudových služeb výpadek kritického dodavatele může zásadně narušit provoz firmy. Mnoho organizací však do svých plánů BCM dodavatele nezahrnuje.
Pro skutečně komplexní a funkční politiku zajištění provozu se proto doporučuje:
Vytvořit a aktualizovat registr kritických dodavatelů.
Pravidelně auditovat jejich připravenost reagovat na výpadky.
Mít plány pro nahrazení klíčových partnerů.
6. Podcenění lidského faktoru
Dokonalý plán je k ničemu, pokud s ním zaměstnanci neumějí nebo nechtějí pracovat. Nedostatečné školení, nejasné role a odpovědnosti nebo chybějící zastupitelnost mohou mít fatální následky.
Pravidelná školení, jasné vymezení odpovědností a aktualizace kontaktních údajů jsou klíčem k efektivní reakci během krize.
Základní postup tvorby BCP
Podpora vedení: BCM musí být prioritou nejvyššího vedení, které zajistí zdroje a podporu napříč organizací.
Tým odborníků: Zapojte zástupce z klíčových oblastí, jako jsou IT, provoz, finance a HR.
Analýza dopadů (BIA): Identifikujte kritické procesy a posuďte jejich závislosti a dopady výpadků.
Stanovení RTO a RPO: Definujte realistické cíle obnovy procesu a obnovy dat na základě potřeb byznysu a vašich technických možností.
Tvorba plánu: Vypracujte srozumitelné a použitelné dokumenty, které budou sloužit jako vodítko během krize.
Pravidelné testování: Testujte plány v praxi, analyzujte výsledky a přizpůsobujte je aktuálním podmínkám.
Zapojení dodavatelů: Auditujte jejich připravenost a zahrnujte je do testovacích scénářů.
Nebojte se krizí ani incidentů
Řízení kontinuity podnikání představuje komplexní proces, který zahrnuje technologické, procesní i lidské faktory. Implementace robustního BCM, například v souladu s požadavky nařízení DORA či normy ISO 22301, umožňuje organizacím odolávat krizím, pružně reagovat na výpadky služeb či provozní incidenty a minimalizovat jejich dopady.
Organizace, které investují čas a finanční prostředky do důkladné přípravy, pravidelných testů a zapojení všech klíčových hráčů, získávají nejen větší odolnost, ale i důvěru svých zákazníků a obchodních partnerů. Pamatujte, že dobře nastavený BCM není pouze o přežití firmy, ale také o schopnosti růst a prosperovat i v nepříznivých podmínkách. Krize může přijít kdykoli. Otázkou je, jak na ni budete připraveni.
