A pusztító Sandy szélvihar tombolása után éppen időszerű azzal foglalkoznunk, hogy vajon a hazai vállalatok milyen mértékben vannak felkészülve a természeti vagy civilizációs katasztrófákból adódó problémák elhárítására, kezelésére, az üzemszerű működés újraindulásáig tartó idő lerövidítésére?
Persze könnyű abban bízni, hogy a váratlan működési fennakadások bekövetkezési valószínűsége kicsi, mivel hatásuk annál nagyobb – gondoljunk csak Magyarország egyik, ha nem a legnagyobb környezeti katasztrófájára, az Ajka melletti timföldgyár tározójának gátszakadására.
A szervezetek üzletfolytonosságát fenyegető tényezők azonosítására, azok hatásának felmérésére és a fenyegetések eredményes kezelését lehetővé tévő válaszlépések kidolgozására szolgál az úgynevezett üzletfolytonosság-tervezés (Business Continuity Management - BCM), mely nemcsak a szervezet értékteremtő folyamatait, hanem hírnevét és az érintettek érdekeit is védi. Már ha van.
Az első, valóban széleskörű hazai BCM-felmérést a KPMG végezte, az üzletfolytonosság-tervezés magyarországi helyzetéről kirajzolódó kép számos tanulságos megállapítással szolgál a keretrendszerek minőségéről, illetve a kockázatkezelési gyakorlat elterjedtségéről. Világossá vált, hogy a hazai üzletfolytonosság-tervezés jelentős lemaradással követi a nyugat-európai és különösen az angolszász országok gyakorlatát, a mélyebb elemzés pedig számos módszertani hibára, illetve az elfogadott legjobb gyakorlat követésének hiányára világított rá a szakemberek számára. Mindez egyet jelent azzal, hogy a gyakorlatban is hatékony BCM-keretrendszerek aránya még a fent említetteknél is alacsonyabb. Pedig jellemzően már magával a felkészüléssel, egyes védelmi intézkedések megtételével is csökkenthetik a kockázatok bekövetkezési valószínűségét a cégek, így proaktívan és kockázattudatosan járhatnának el – tudtuk meg a kutatást végző Molnár Istvántól, a KPMG szenior menedzserétől. Mint mondta: „Maga az üzletfolytonosság-tervezés nem egy újkeletű téma, csak legfeljebb nem így hívták korábban. Egyes kritikus tevékenységű szervezetek már több évtizede foglalkoznak azzal, hogy különböző nem várt események bekövetkezése esetén hogyan képesek mihamarabb helyreállítani a szolgáltatásukat. Aztán a 2000-es év számítástechnikai problémája szélesebb körben is felhívta a figyelmet az üzletfolytonossági tervek és megoldások fontosságára. Az elmúlt tíz évben már a figyelem középpontjában volt a terület, a nagyobb szervezetek többsége már kidolgozta üzletfolytonossági (BCM) keretrendszerét és terveit, bár azt látjuk, hogy ezek minősége még változó.”
Iparáganként eltér
A 2011-es felmérés egyik feltűnő eredménye volt az IT-terület dominanciája a magyarországi üzletfolytonosság-tervezésben. A kutatásban részt vett szervezetek egyharmadánál az informatikai részleg volt felelős a BCM-ért, majd 80 százalékuk erőforrás-visszaállításra vonatkozó tervei (DRP-i) pedig kizárólag informatikai erőforrásokra terjedtek ki, mindazonáltal a termelő- és kereskedelmi vállalatok mindössze 10%-a dolgozott már ki üzletfolytonossági tervet. A 2012-es üzletihatás-elemzésre fókuszáló BCM-felmérésben nagy számmal képviseltették magukat a pénzügyi szektor szereplői.
„Úgy véljük, hogy azokban az iparágakban, ahol időkritikus szolgáltatások és folyamatok vannak – tehát a szolgáltatások rövid időre, néhány órára sem eshetnek ki, különben komoly üzleti károk keletkeznek – nos, ezeknél a szervezeteknél kulcsfontosságúak a megfelelően kialakított BCM-megoldások és tervek. Ezek az iparágak jellemzően a pénzügyi szféra, a telekommunikáció és IT-szolgáltatások, és néhány termeléssel vagy kritikus infrastrukturális szolgáltatással foglalkozó iparág is. Ezek közül a pénzintézetek általában élen járnak, azonban az ő esetükben a törvényi szabályozás is kötelezővé tette a BCM kialakítását. Elmaradás tapasztalható viszont egyes termelőcégeknél, ahol előfordul, hogy a vezetőség bele sem gondol, milyen számszerűsíthető károk keletkezhetnek a termelés kiesése miatt, melynek az oka gyakran valamely kritikus berendezés meghibásodása” – részletezte Molnár István az egyes iparágak közötti jelentős különbségeket.
A jogszabályi kötelezettségek vagy az anyavállalati elvárások, valamint ezek betartásának ellenőrzése kikényszerítheti a BCM-megoldásokat. Ám a KPMG szenior menedzserének véleménye szerint inkább a kockázattudatos gondolkodás indokolná a BCM kialakítását: „A magánéletben vajon sokan ügyelnek arra, hogy legyen B-tervük például egy fontos találkozóra való eljutásra, ha esetleg lerobban az autójuk? Vagy van-e megfelelő lakásbiztosításuk minden lényeges káreseményre, és vajon az ingóságok értéke is naprakészen meghatározott? Nos, ugyanígy a vállalatok működési gyakorlatában is vannak elmaradások, pedig igazából mindenkinek szüksége van B-tervre. Persze egyes szervezeteknél a folyamatok egyszerűbbek és magától értetődőnek tűnik a BCM-megoldás, de azt gondolom, itt is célszerű annak dokumentálása. Így például, ha egy néhány fős kisvállalkozás vezetője – akinek minden információ és a működés a fejében van – kórházba kerül, nem biztos, hogy a munkatársai vagy a családja képes folytatni a tevékenységet.
Összességében persze alapvetően az időkritikus folyamatok, a rövidebb időn belül is komoly üzleti hatások, a szervezet mérete és bonyolultsága teszi igazán kritikussá a BCM meglétét, ezeknél a szervezeteknél célszerű csak igazán előre átgondolni az egyes katasztrófa-szcenáriók bekövetkezése esetére a teendőket és felkészülni már jó előre.”
Mindig kell egy B-terv
Hogy egy cégen belül kinek a feladata az üzletfolytonosság-tervezés?
„Röviden mindenkié, hisz bármilyen részlegen előfordulhat olyan esemény, például egy számítástechnikai hiba, mely megakadályozhatja egy határidős feladat ellátását. Természetesen a BCM-mel kapcsolatos feladatok koordinálását célszerű egy szakértő területre bízni, amely lehet a kockázatkezelési-, a biztonsági részleg, vagy a compliance is. Korábban gyakran bízták a feladatot az informatikára, amely egyrészt a nagy informatikától való függőség miatt érthető, azonban az IT nem láthatja pontosan az üzleti folyamatok kiesésének hatásait, a lehetséges károk mértékét, az összefüggéseket, vagy az üzleti helyreállítási lehetőségeket” – kaptuk meg a választ Molnár Istvántól.
Nem meglepő tehát, hogy a magyar KKV-kat és mikrovállalatokat ugyanúgy érinti a váratlan működési fennakadás problémája: „Ahogy említettem, nekik is szükségük van B-tervre, üzletfolytonossági megoldásokra, és nyilván sokan gondolnak is erre, de úgy vélem, egyrészt a BCM-ismeretek vagy a kockázattudatosság hiánya, másrészt a szűkös erőforrások megakadályozhatják, hogy a témával érdemben foglalkozzanak” – magyarázta a szakember.
„Még nagy szervezeteknél is látjuk, hogy egy bekövetkezett esemény jelentősen növeli az érdeklődést és elkötelezettséget a BCM-megoldások iránt, mert a bőrükön érzik és meg is fizetik azokat a károkat, melyek addig csak papíron és elemzésekben léteztek. A biztosításhoz hasonlóan, amíg nem történik egy súlyos esemény, úgy gondolhatják, hogy ez pénzkidobás, pedig számos előnye van még a BCM kidolgozásának: jobban megismerik a szervezetet, az informatikai szolgáltatások részleteit, a képességeiket, a tevékenységek összetettségét, a különböző függőségeket, valamint kockázattudatosságra is nevel, és segít elkerülni a káros eseményeket vagy azok hatásait” – hívta fel a figyelmet a BCM előnyeire a KPMG szenior menedzsere, aki szerint az a cég, aki bevezeti a BCM-et, amellett hogy felkészültebben várhatja a különböző működési incidenseket és katasztrófaeseményeket, proaktív módon léphet fel, és megakadályozhatja, elkerülheti a nem várt események bekövetkezését, valamint csökkentheti azok hatását. „Emellett ügyfeleinknél azt is tapasztaltuk, hogy átfogóbb és mélyebb ismeretet szereznek folyamataikról, az azok közötti összefüggésekről, jelenlegi képességeikről vagy a támogató erőforrásokról. Ez utóbbiak kapcsán gyakran derül ki, milyen sok szervezet használ különböző Excel-alapú megoldásokat akár kritikus tevékenységek támogatására is, és azokat sokan a saját gépükön tárolják biztonsági mentés hiányában.”
Nem árt tudni
„Egy BCM, mint sok minden más, sosincs kész. Fontos feladat a belső változások miatti rendszeres aktualizálás, az új fenyegetések és kockázatok felismerése, továbbá a felkészültség fenntartása. Emellett javasolt időnként a megközelítés felülvizsgálata is, biztosan a lényeges problémákra koncentrálunk, biztos nem hagytunk ki valamit, vajon a legjobb módszert használjuk? Ekkor különösen értékes egy külső “szem” és szakértő” – ajánlja Magyarország vezető könyvvizsgáló és üzleti tanácsadó társasága azoknak a cégeknek, akik már rendelkeznek valamilyen BCM-keretrendszerrel. Akik pedig egyáltalán nem rendelkeznek ilyen jellegű megoldással és nem is tartják fontosnak, fogadják meg a szakértő tanácsát: „Tekintsék át, hogy mik a szervezet céljai, fontos és kritikus feladatai, folyamatai, és képzeljék el, hogy ezek valamilyen hiba folytán nem működnek. Majd gondolatban sorolják fel a lehetséges hibákat, a megoldásokat, és gondolják át, vajon minden érintett tudja-e ezekre a legjobb megoldást – és képes is azokat bármikor alkalmazni? Amennyiben nem, úgy érdemes megfontolni az üzletfolytonossági kockázatok formális átgondolását.”
A BCM folyamata a KPMG szerint
-Az első lépés mindig a cél meghatározása és a vezetői támogatás megszerzése, ugyanis a BCM kialakítása, valamint naprakészen tartása pénzbe és időbe is kerül, ezért fontos a szűkös erőforrások legjobb helyre való koncentrálása. Ezek után jön az úgynevezett üzletihatás-elemzés (Business Impact Analysis - BIA), amely meghatározza a kritikus folyamatokat és erőforrásokat, valamint feltárja a releváns üzletfolytonossági kockázatokat is, melyek ellen védekezni kell. Abban az esetben, ha a szervezet bizonytalan ennek megfelelő kivitelezése kapcsán, érdemes szakértő segítséget igénybe venni, mert előfordulhat, hogy nem megfelelően készülnek fel a nem várt események kezelésére.
Az üzletihatás-elemzés után következhet csak a BCM kialakításának megkezdése, maguknak a BCP- és DRP-terveknek és megoldásoknak a kidolgozása, majd ezek oktatása, tudatosítása és tesztelése, ami a működőképességük ellenőrzése mellett az eljárások végrehajtásának begyakorlása miatt is hangsúlyos feladat.
A kizárólag a polcnak vagy a jogszabályi előírások miatt keletkező BCM-ek aktualizálás hiányában nem képesek a működésfolytonosság támogatására. Tapasztalataink alapján csak a felelősségek pontos kijelölésével, számonkéréssel, tudatosítással, és a rendszeres – vagy még inkább – a változásokhoz kötött frissítések megkövetelésével lehet a tervek karbantartását biztosítani.
