Hrvoje Pernar, Nataša Kučeković ZIH d.o.o., Zagreb hrvoje.pernar@zih.hr natasa.kucekovic@zih.hr
UPRAVLJANJE KONTINUITETOM POSLOVANJA Sažetak Sve organizacije se svakodnevno suočavaju s nizom vanjskih i internih rizika. Organizacije sustavnim, strukturiranim i planiranim pristupom i implementacijom odgovarajućih preventivnih kontrola i ostalih metoda djelovanja proaktivno djelovati na značajne poslovne rizike. No, preventivne kontrole nisu garancija da se rizici stvarno neće materijalizirati, tj. one ne mogu u potpunosti eliminirati vjerojatnost njihova ostvarivanja. Kako bi se osiguralo da ciljevi i kritični poslovni procesi organizacije u slučaju realizacije potencijalnih rizika ne budu ugroženi čime organizaciju defacto dovode u stanje katastrofe, potrebno je navedenom problemu pristupiti s dužnom pažnjom. Upravljanje kontinuitetom poslovanja jedini je pravi pristup rješavanju takovih problema. U ovom radu će biti razrađene uobičajene faze implementacije jednog projekta upravljanja kontinuitetom poslovanja : inicijacija projekta, identifikacija ključnih poslovnih procesa, analiza rizika, analiza utjecaja rizika na poslovne procese, izrada strategija kontinuiteta poslovanja, implementacija planova kontinuiteta poslovanja, testiranje i održavanje istih, te primjeri programske podrške za upravljanje kontinuitetom poslovanja. Ključne riječi: rizik, upravljanje kontinuitetom poslovanja 1. UVOD
Upravljanje kontinuitetom poslovanja (BCM – Business Continuity Management) je važan dio okvira rizičnog menadžmenta u organizaciji. Sve organizacije se suočavaju sa raznim rizicima, a svaki rizik može biti npr. financijska posljedica, pravna posljedica, posljedica sigurnosti osoblja i posljedica prekida poslovanja. Izvor toga može biti eksterni (većim dijelom izvan kontrole organizacije) ili interni. Interni rizici se pojavljuju i na strateškom nivou (u cijeloj organizaciji) i na operacijskom nivou. Uspješnost BCM-a oslanja se na stručnost unutar organizacije (ljudi su oni koji razumiju organizaciju), poslove, procese i poslovne rizike. Sam proces počinje od točke gdje se rizični događaj već dogodio i prekinuo poslovanje. U tom kontekstu, uzrok ili priroda stvarnog rizičnog događaja nisu pokretači reakcije menadžmenta. Posljedica prekida poslovanja je ta koja uglavnom određuje daljnji proces. BCM se ne odnosi samo na obnovu podataka, kontrolu menadžmenta rizika ili oporavak tehnologije, već osigurava strateški i operativni okvir i odgovoran je za redizajn puteva koje pruža organizacija kao produkte i servise za vrijeme povećanja elastičnosti prekida, obustave ili gubitka.
2. CIKLUS SUSTAVA UPRAVLJANJA KONTINUITETOM POSLOVANJA
Slika 1: Ciklus sustava upravljanja kontinuitetom poslovanja
Uspostava sustava upravljanja kontinuitetom poslovanja ima 6 izrazitih faza : · Priprema i inicijacija projekta uspostave sustava upravljanja kontinuitetom poslovanja · Analiza utjecaja neželjenih događaja na poslovanje i procjena rizika · Prijedlog rješenja/ strategija upravljanja kontinuitetom poslovanja · Razvoj i implementacija plana kontinuiteta poslovanja · Razvoj BCM kulture · Testiranje, održavanje i procjena BCM-a
3. PRIPREMA I INICIJACIJA PROJEKTA USPOSTAVE SUSTAVA UPRAVLJANJA KONTINUITETOM POSLOVANJA
Svaki kvalitetan projekt mora imati dobre temelje bazirane na aktivnostima planiranja, budžetiranja i osiguranja adekvatnih resursa. Prije započinjanja rada na implementaciji projekta uspostave sustava upravljanja kontinuitetom poslovanja, potrebno je imati na umu kompleksnost takovih projekata. Iako brojne reference (primjerice norma ISO 17799:2005 ) svrstavaju upravljanje kontinuitetom poslovanja u informacijsku sigurnost, riječ je o mnogo širem poimanju – praksa je pokazala da implementacija npr. ISO 17799:2005 norme u poslovanje poduzeća treba ići odvojeno od implementacije sustava upravljanja poslovanjem. Razlog tome leži u velikim zahtjevima za resursima, kako ljudskima, tako i tehničkim i financijskim. 3.1 Svrha Stvoriti dobre temelje za realizaciju projekta uspostave sustava upravljanja kontinuitetom poslovanja. Napraviti detaljan plan projekta sa pripadajućim odgovornostima. Definirati politiku sustava upravljanja kontinuitetom poslovanja te odgovornosti za implementaciju i održavanje iste. 3.2 Realizacija Kao prvi korak u uspostavi ovakovog sustava potrebno je pripremiti i definirati plan projekta uspostave sustava upravljanja kontinuitetom poslovanja, što znači provesti sljedeće aktivnosti : · Dokumentirati ciljeve projekta · Definirati opseg (scope) i bilo kakva ograničenja · Objasniti i dokumentirati pretpostavke · Definirati odgovornosti za pojedine faze i aktivnosti projekta · Definirati potrebne resurse · Definirati vremenski okvir, rokove i rezultate svake faze projekta · Odobriti plan projekta (top menadžment) Drugi korak je definiranje politike sustava upravljanja kontinuitetom poslovanja kao osnovnog strateškog dokumenta koji će propisati daljnji smjer djelovanja organizacije po pitanju upravljanja kontinuitetom poslovanja. Potrebno je identificirati strukturu politike, svu prateću zakonsku regulativu i standarde, definirati odgovornosti za implementaciju politike, te propisati ciljeve iste. Na kraju, uprava mora odobriti politiku sustava upravljanja kontinuitetom poslovanja.
4. ANALIZA UTJECAJA NEŽELJENIH DOGAĐAJA NA POSLOVANJE I PROCJENA RIZIKA
Prije nego se krene s identifikacijom mogućih strategija oporavka, tj. osiguranja kontinuiteta poslovanja, potrebno je identificirati sve moguće neželjene događaje na poslovanje, zajedno sa njihovim utjecajem. Analiza utjecaja neželjenih događaja na poslovanja (BIA – Business Impact Analysis) se uobičajeno provodi prije procjene rizika (Risk Analysis), iz razloga što rezultati analize utjecaja neželjenih događaja na poslovanje direktno utječu na smjer i rezultete provedbe procjene rizika. Rezultati obje faze moraju biti takovi da omoguće što jednostavnije generiranje i identifikaciju strategija oporavka, tj. osiguranja kontinuiteta poslovanja nakon prekida. 4.1 Svrha faze Stvoriti dobre temelje za definiranje adekvatnih rješenja sustava upravljanja kontinuitetom poslovanja. Razumjeti poslovne potrebe i ciljeve organizacije. Identificirati ključne poslovne procese i strukturirati ih. Napraviti analizu utjecaja neželjenih događaja na poslovanje. Sprovesti analizu rizika za kritične poslovne procese na osnovi analize utjecaja neželjenih događaja na poslovanje. Identificirati uska grla («Single point of failure»). 4.2 Realizacija Potrebno je identificirati i prema dogovorenoj metodici strukturirati ključne poslovne procese, proizvode i ciljeve organizacije. Ključni poslovni procesi omogućuju organizaciji da ostvari svoje ciljeve – ukoliko se ti poslovni procesi zaustave, organizacija trpi velike gubitke. Nakon toga treba sprovesti analizu utjecaja neželjenih događaja na poslovanje (BIA – Business Impact Analysis). Potrebno je učiniti sljedeće : · · · · · · · ·
Dokumentirati prioritete, brige i prijedloge vezane uz realizaciju ključnih poslovnih procesa Definirati dozvoljeno vrijeme ispada (MTO - Maximum Tolerable Outage) za organizaciju u cjelini na temelju ključnih ciljeva Identificirati neželjene događaje koji mogu prekinuti poslovanje i/ili ugroziti ostvarivanje poslovnih ciljeva Generirati nekoliko osnovnih scenarija utjecaja neželjenih događaja na poslovanje Za svaki ključni poslovni proces utvrditi moguće neželjene događaje koji mogu prekinuti njegovo izvršavanje i ostvarivanje ciljeva Za svaki ključni poslovni proces utvrditi dozvoljeno vrijeme ispada (MTO) Identificirati minimalne ljudske, informacijske, tehničke i ostale resurse potrebne za odvijanje svih aktivnosti ključnih poslovnih procesa Identificirati vitalne zapise i dokumentaciju potrebnu za oporavak ključnih poslovnih procesa
Rezultati prethodne faze su ulaz u analizu rizika. Potrebno je na osnovi odabrane metode za procjenu rizika, definiranog sustava rangiranja i kvantificiranja mogućih prijetnji i utjecaja identificirati prijetnje za ključne poslovne procese, njihov utjecaj te vjerojatnost ostvarivanja.
Nakon što se izračunaju, tj. kvantificiraju rizici, oni se rangiraju prema prioritetima, te se pristupa izradi akcijskih planova tretiranja rizika, što sve predstavlja ulaz za sljedeću fazu. 5. PRIJEDLOG RJEŠENJA/STRATEGIJA UPRAVLJANJA KONTINUITETOM POSLOVANJA
Na temelju rezultata analize utjecaja neželjenih događaja na poslovanje i analize rizika moguće je identificirati strategije oporavka, bilo na razini procesa, na razini organizacije ili na razini resursa. Potrebno je utvrditi kako će se realizirati ponovna uspostava kontinuiteta poslovanja, nakon što se neželjeni događaj/i zapravo i ostvari te uzrokuje prekid poslovanja. Opcija ima mnogo – to može biti izgradnja dodatne lokacije (standby) sa redundantnim aktivnostima i resursima, aktiviranje usluga treće strane (outsourcing), distribuirano procesiranje, rad od kuće, itd. Sve strategije imaju jednu zajedničku karakteristiku – moraju osigurati povrat poslovnih procesa unutar dozvoljenog vremena ispada. 5.1 Svrha Predložiti više alternativnih rješenja/strategija oporavka, ovisno o željenoj razini funkcionalnosti i dozvoljenom vremenu ispada, uz procjenu troškova izvedbe i funkcioniranja svakog alternativnog rješenja/strategije kako bi se osiguralo kontinuirano odvijanje poslovnih aktivnosti. 5.2 Realizacija Na temelju rezultata prethodne faze, pristupa se izradi i dokumentiranju alternativnih rješenja/strategija sustava upravljanja kontinuitetom poslovanja. Slijedi popis aktivnosti vezanih uz ovu fazu : · · · · ·
Definirati strategiju oporavka na razini organizacije (organisation strategy) Identificirati potrebne aktivnosti za svako alternativno rješenje/strategiju – definirati strategije oporavka na razini procesa (process level strategy) Identificirati potrebne resurse, te zahtjeve za dokumentacijom i zapisima za svako alternativno rješenje/strategiju – definirati strategije oporavka na razini resursa (resource recovery strategy) Procijeniti troškove izvedbe za svako alternativno rješenje/strategiju Vrednovati i odabrati rješenja/strategije za implementaciju 6. RAZVOJ I IMPLEMENTACIJA PLANA KONTINUITETA POSLOVANJA (BCP)
Kakve koristi organizacija ima od dodatne off-site lokacije, ako između nje i središnjice u kojoj se desila katastrofa nema odgovarajuće komunikacije? Tko ima odgovornost i ovlasti da proglasi
stanje katastrofe? Što će biti saopćeno medijima, što zaposlenicima, a što dioničarima u slučaju katastrofe? Na sva ova pitanja odgovor daje organiziran sustav komuniciranja prilikom nastupa incidenata i događaja koji mogu uzrokovati prekid poslovnih aktivnosti (Crisis Management). Na osnovi odabranih strategija oporavka, tj. osiguranja kontinuiteta poslovanja (do čega se može doći npr. cost-benefit analizom), potrebno je iste transformirati u efektivni plan kontinuiteta poslovanja. Plan kontinuiteta poslovanja identificira moguće katastrofe i način reakcije na svaki pojedini tip iste. Uz popis alternativnih lokacija, kontakt lista, popis uloga i odgovornosti zaposlenih u ovom procesu, popis vitalnih dokumenata i zapisa za nastavljanje prekinutih poslovnih procesa te ostalih potrebnih resursa, plan kontinuiteta poslovanja daje i proceduralni opis kako reagirati na nastup događaja koji rezultira prekidom poslovnih aktivnosti. Plan kontinuiteta poslovanja mora omogućiti oporavak željenih poslovnih procesa. 6.1 Svrha faze Osigurati dokumentirani okvir za oporavak ključnih poslovnih procesa organizacije unutar dozvoljenog vremena ispada (MTO). Definirati i implementirati plan za efektivan sustav komuniciranja, odgovora i reakcije na incidente i događaje koji mogu uzrokovati prekid poslovnih aktivnosti. 6.2 Koraci realizacije Izrada i dokumentiranje plana kriznog menadžmenta/ odgovora na krizne situacije započinje formiranjem tima za krizne situacije, imenovanjem vlasnika plana, definiranjem uloga i odgovornosti članova tima, odabirom strategija ne kojima se plan bazira, identifikacijom ciljnih skupina koje su zahvaćene događajima koji mogu uzrokovati prekid poslovnih aktivnosti, nastavlja se opisom načina komuniciranja i izvješćivanja ciljnih skupina o mjerama koje su poduzete nakon nastupa incidenata i događaja koji mogu prekinuti poslovne aktivnosti, te izradom plana kriznog menadžmenta i završava se evaluacijom istog. Izrada i dokumentiranje plana kontinuiteta poslovanja (BCP) uključuje sljedeće aktivnosti : · · · · ·
Definirati vlasnika plana kontinuiteta poslovanja (BCP), ciljeve i okvir BCP-a, formirati BC timove Definirati željenu strukturu, format i komponente plana kontinuiteta poslovanja Odlučiti koja rješenja/strategije će biti dokumentirane unutar plana kontinuiteta poslovanja Strukturirati proces izvješćivanja u slučaju nastupa katastrofe, tj. prekida poslovanja Izraditi inicijalnu verziju plana kontinuiteta poslovanja i inicijalni «walkthrough» test
7. RAZVOJ BCM KULTURE (AWARENESS RADIONICE I TRENING)
Nakon izrade plana kontinuiteta poslovanja, potrebno je sve djelatnike uključene u proces uspostave kontinuiteta poslovanja educirati kako će se isti u praksi provoditi. Zadaća menadžmenta organizacije je da koristi sve potrebne mehanizme kako bi se produbila svijest u organizaciji o postojanju i načinima djelovanja sustava upravljanja kontinuitetom poslovanja. Drugim riječima, potrebno je stvoriti kulturu upravljanja kontinuitetom poslovanja. Svaki zaposleni mora biti svjestan svojih odgovornosti i uloga u tom procesu. Najjednostavniji i često najučinkovitiji mehanizam razvoja ovakve kulture je provedba tzv. «awareness» radionica, na kojima djelatnici interaktivno sudjeluju u raspravi i gdje gorući problemi uvijek budu razjašnjeni na odgovarajući način. 7.1 Svrha Promicati svijest o BCM kulturi. Osigurati razvoj vještina potrebnih za učinkovito razvijanje, implementaciju, izvršavanje, testiranje i održavanje plana kontinuiteta poslovanja. 7.2 Realizacija Provedba «Awareness» radionica i trening edukacijskih programa uključuje identifikaciju zahtjeva za edukacijom zaposlenih o BCM-u ili specifičnim segmentima BCM-a, utvrđivanje trenutne i željene razine svijesti o BCM-u, na osnovi čega se definiraju ciljevi i sadržaj edukacijskih programa i «awareness» radionica, te se pristupa provedbi edukacije zaposlenih i vrednovanju učinkitosti iste. 8. TESTIRANJE, ODRŽAVANJE I PROCJENA BCM-A
Ukoliko nešto nismo testirali, kako ćemo znati da li stvarno funkcionira? Vojska ne čeka praznih ruku da počne rat – vojnici konstantno izvode ratne vježbe kako bi se pripremili na nepredviđene događaje koji se mogu dogoditi u bilo kojem trenutku, bez obzira na vjerojatnost pojavljivanja. Isto vrijedi i za policiju i vatrogasnu službu, pa zašto ne bi vrijedilo i za poduzeće kao jedinstveni organizam. Svako poduzeće koje želi biti sigurno da njeni planovi kontinuiteta poslovanja stvarno osiguravaju oporavak organizacije, procesa ili resursa od nastupa nepredviđenih događaja koji prekidaju poslovanje, mora imati uspostavljen proces testiranja tih planova. Najčešći i najprimjenjiviji način testiranja planova kontinuiteta poslovanja je provedba zamišljenih, ali realnih scenarija. Primjerice, što će se desiti ako nam se dogodi nestanak električne energije u središnjici (uzmimo za primjer banku) prilikom obrade transakcija u 14:00 sati u petak? Što ako se istovremeno desi i prekid telefonskih linija operatera na šalterima? Moguće je izvesti i test koji daje najrealnije rezultate – simulacija stvarne katastrofe. Primjerice – namjerno izazvan nestanak električne energije. Nešto bezbolniji testovi uključuju razne tipove računalnih simulacija, «walkt-hrough» testove, «talk through» testove i mnoštvo drugih.
Također, organizacija mora imati jedinstven pristup održavanju planova kontinuiteta poslovanja. Potrebno je utvrditi uloge i odgovornosti za održavanje, te događaje koji mogu uzrokovati reviziju postojećih planova i dokumentacije sustava upravljanja kontinuitetom poslovanja. 8.1 Svrha Testiranjem pokazati da li provedba plana kontinuiteta poslovanja osigurava oporavak ključnih poslovnih procesa do željene razine. Osigurati okvir za kontinuiranu procjenu i održavanje plana kontinuiteta poslovanja. Provoditi ocjenu sustava upravljanja kontinuitetom poslovanja. Identificirati moguća poboljšanja. Razvijati BCM vještine i kulturu. 8.2 Realizacija Provedba testiranja BCM-a uključuje sljedeće aktivnosti : · · · ·
Definirati opseg, ciljeve i resurse potrebne za izvođenje testa Pripremiti realni BC scenarij/e za provedbu testiranja Provesti testiranje plana kontinuiteta poslovanja u skladu sa prihvaćenim scenarijem Analizirati rezultate testiranja plana kontinuiteta poslovanja
Na kraju, potrebno je osigurati okvir za provedbu procjena i održavanje BCM-a, što uključuje sljedeće aktivnosti : · · · · · ·
Definirati uvjete koji aktiviraju promjene plana kontinuiteta poslovanja Definirati uloge i odgovornosti za održavanje plana kontinuiteta poslovanja Definirati metodologiju procjene (audita) Identificirati ciljeve, opseg, kriterije i rezultate provedbe svake faze procjene (audita), te uloge i odgovornosti za provođenje procjene Provesti procjenu (audit) sustava upravljanja kontinuitetom poslovanja Analizirati rezultate procjene
9. ZAKLJUČAK BCM je dugo bio prepoznatljiv kao dobra poslovna praksa i sastavni dio upravljanja poduzećem, te na mala vrata ulazi i u hrvatsku praksu. Između ostaloga, BCM zauzima stratešku dimenziju i ne smije biti viđen u uskom reaktivnom operacijskom kontekstu Organizacije kroz strukturiran, sustavni proces pokušavaju upravljati svim važnim poslovnim rizicima koristeći odgovarajuće preventivne kontrole i druge tretmane uklanjanja rizika. Međutim, preventivne kontrole i drugi pro-aktivni tretmani nisu garancija da se rizični događaji neće dogoditi, tj. ne mogu u cijelosti otkloniti mogućnost njihovog pojavljivanja. Zbog toga je za učinkovit menadžment rizika jednako važno da organizacija implementira kontrolu koja će se provesti u onom trenutku kada će se rizični događaj pojaviti. Ključno pitanje je koliko će vremena, truda i sredstava trebati investirati u korektivne kontrole, u pripremu nečega što se možda nikada neće dogoditi. Odgovor na ovo pitanje daje uspostava učinkovitog sustava upravljanja kontinuitetom poslovanja.
10. LITERATURA [1] Andrew Hiles, Business Continuity: Best Practices, World-class Business Continuity Management, 2nd Edition, Rothstein Associates Inc., Brookfield, Connecticut, USA, 2004. [2] Business Continuity Institute, Good Practice Guidelines (2005) – A framework for business continuity management, 2005. [3] BSi, BS ISO/IEC 17799:2005 BS 7799-1:2005, Informacijska tehnologija – Sigurnosne tehnike – Kodeks postupaka za upravljanje informacijskih sigurnošću, drugo izdanje, 15.06.2005.
Hrvoje Pernar, Natasa Kucekovic, ZIH ltd., Zagreb natasa.kucekovic@zih.hr hrvoje.pernar@zih.hr BUSINESS CONTINUITY MANAGEMENT Summary All organisations face a variety of internal and external risks. Organisations, through a systematic, structured and planned process attempt to manage all significant business risks pro-actively, by implementing appropriate preventative controls and other risk treatments. However, preventative controls and other pro-active treatments are no guarantee that risk events will not occur, that is, they cannot entirely eliminate their likelihood of occurrence. In order to ensure that critical objectives and business processes of the organisation will not be jeopardized if potential risk events do occur, in which case the organisation will face disaster, this problem deserves proper attention. Business continuity management is the only adequate approach to minimize such problems. In this work we will explain common phases for implementing such business continuity management project : project initiation, key business process identification, risk analysis, business impact analysis, business continuity strategies, business continuity plan development and implementation, testing and maintenance of plans and the examples of software solutions for business continuity management. Keywords: risk,BCM