Řízení kontinuity podnikání

Tento příspěvek se zabývá vztahem mezi řízením rizik a řízením kontinuity podnikání.

V prvé řadě je třeba uvést, že rizika řídíme proto, abychom zajistili kontinuitu podnikání a tedy i naplnění mise a vize organizace a úspěšně překonali nejrůznější havárie, ke kterým může dojít v důsledku selhání jednotlivce, působení vyšší moci anebo kybernetického útoku.

Cílem řízení kontinuity podnikání (business continuity managementu, zkr. BCM) je zajistit fungování organizace, nebo minimálně její určité části, a to realizací odpovídajících plánů kontinuity činností (business continuity plan, zkr. BCP), které organizaci umožní fungovat i v případě výskytu takové události, která povede ke ztrátě dostupnosti, integrity, důvěrnosti anebo užitečnosti klíčového aktiva, jakou jsou např. budovy, lidé, systémy nebo třetí strany.

Tato definice zní možná trochu šroubovaně, ale měla by zachycovat i situace, kdy organizace nemůže pokračovat ve své činnosti nikoliv jen kvůli následkům působení vyšší moci, nedbalosti nebo útoku, ale třeba i proto, že se do problémů dostane subjekt, třetí strana, na které je daná organizace do určité míry závislá.

Může se jednat např. o situace, kdy budovy, lidé, systémy a stroje fungují, ale organizace přesto nemůže vyrábět nebo poskytovat své služby. Např. proto, že jsou zaplaveny okolní příjezdové komunikace, je vyhlášen nouzový stav, nebo z jakéhokoliv důvodu došlo k výpadku dodávek materiálu nebo surovin od třetí strany.

Je nasnadě, že zavedení systému řízení kontinuity podnikání (business continuity management system, zkr. BCMS) bude organizaci něco stát a rovněž realizace příslušných BCP bude generovat určité náklady, a byť dočasně může třeba i dojít ke zhoršení kvality obsluhy klienta a nižší efektivitě práce, tak ve výsledku to organizaci umožní přežít.

Doporučuji začít identifikací kritických business procesů a aktiv, na kterých tyto procesy závisí a stanovením dopadů, které vyplývají z narušení důvěrnosti, integrity, dostupnosti, neodmítnutelnosti nebo ztráty užitečnosti aktiva (business impact analysis, zkr. BIA).

Pro jednotlivé procesy pak stanovit i maximální dobu možného přerušení (Maximum Tolerable Period of Disruption, zkr. MTPD) a prioritu s jakou mají být jednotlivé procesy obnovovány.

Poté je vhodné pokračovat tvorbou rizikových scénářů a v rámci hodnocení rizik pak identifikovat a analyzovat jednotlivé hrozby, které by mohly tyto business procesy a aktiva ohrozit a navrhnout vhodný způsob zvládání rizik. Zpravidla se jedná o zavedení takového opatření, které vede k minimalizaci těchto rizik, a to buď snížením pravděpodobnosti dané hrozby anebo jejího dopadu.

Zatímco v prvním případě je snaha přijmout taková opatření, aby k realizaci dané hrozby vůbec nedošlo, tak ve druhém případě je snaha hrozbu co nejdříve detekovat a minimalizovat dopady, např. formou pojištění a kvalitními BCP.

V případě nedostupnosti dané lokality nebo omezené možnosti cestovat a shromažďovat se na určitém místě, je nutné zajistit přesun vybraných zaměstnanců do jiné budovy, nebo jim umožnit práci z domova.

V případě ohrožení dostupnosti osob, je nezbytné identifikovat osoby vykonávající klíčové procesy, určit jejich zástupce, a zajistit předávání znalostí a zdokumentovat pracovní postupy, aby bylo možné podle nich postupovat.

V případě ohrožení klíčových systémů musí být vypracovány DRP plány, aby bylo možné tyto systémy zprovoznit i v jiné lokalitě. Za tímto účelem je nutné mít uzavřenu smlouvu s příslušným poskytovatelem anebo mít vybudované záložní datové centrum a možnost v něm systémy a data obnovit.

V případě selhání třetí strany pak je nutné mít k dispozici alternativu, tedy jiný způsob dopravy (třeba i delší), držet větší zásoby (na jiném místě), mít nasmlouvaného i jiného dodavatele (třeba i dražšího).

Netřeba snad dodávat, že tyto plány musí být pečlivě připraveny a musí být i důkladně testovány a aktualizovány, aby organizace mohla pokračovat ve své činnosti v okamžiku, až daná situace skutečně nastane.

Plán musí obsahovat informace, o tom, kdo jej a za jakých podmínek spouští a ukončuje, jakým způsobem o tom informuje. Dále musí být uvedeno, co se bude dělat, kdo to bude dělat, kdy to bude dělat, jak to bude dělat, jaké zdroje budou potřeba, a jak se vyhodnotí, že bylo dosaženo požadovaného výsledku. Vše musí být zdokumentováno, a příslušný dokument musí být dostupný.

Zdroj: ISO 22301:2019, Security and resilience – Business continuity management systems – Requirements

Pokud vás tento příspěvek zaujal, sdílejte ho!
Email this to someone
email
Share on LinkedIn
Linkedin
Tweet about this on Twitter
Twitter
Share on Facebook
Facebook
Print this page
Print

Štítky:


K článku “Řízení kontinuity podnikání” se zde nenachází žádný komentář - buďte první.

Diskuse na tomto webu je moderována. Pod článkem budou zobrazovány jen takové komentáře, které nebudou sloužit k propagaci konkrétní firmy, produktu nebo služby. V případě, že chcete, aby z těchto stránek vedl odkaz na váš web, kontaktujte nás, známe efektivnější způsoby propagace.

Přihlášeným uživatelům se tento formulář nezobrazuje - zaregistrujte se.

Jméno:(požadováno)
E-mail:(požadováno - nebude zobrazen)
Web:

Text vaší reakce: