Az üzletmenet-folytonossági irányítási rendszer szabvány

Közhellyé vált mondás, hogy gyorsuló világban élünk, a változások egyre nagyobb kihívások elé állítják a vállalatvezetőket. De mi történik akkor, ha egy kedvezőtlen változás nem röpke évek, hanem néhány óra, esetleg pár perc alatt következik be és drámai hatással van a vállalat működésére? A váratlan krízishelyzetek egyik jellemzője, hogy bekövetkezésük többnyire előre nem látható, de a nagyfokú bizonytalansággal szemben mégsem vagyunk teljesen védtelenek. Megfelelő intézkedésekkel ugyanis fenntartható, vagy növelhető a szervezet képessége arra, hogy előre meghatározott szinten folytassa termékek vagy szolgáltatások szállítását egy zavaró incidenst követően. Erről szól az üzletmenet-folytonosság tudománya, amely egy menedzsment folyamat és egyben egy irányítási keretrendszer.
Az irányítási folyamat során a vállalat azonosítja a potenciális fenyegetéseket és ezeknek az üzleti tevékenységre gyakorolt esetleges hatásait, majd kialakít egy rugalmas keretrendszert, amely segíti megvédeni ezektől a kedvezőtlen hatásoktól a szervezet kulcs érdekelt feleinek az érdekeit, a hírnevét és az értékalkotó tevékenységeit.
Az üzletmenet-folytonossági tervezés és ellenőrzés négy fontos feladatcsoportból áll és ezekhez tartoznak konkrét szakmai tartalmak és módszerek:
1. BIA és RIA, azaz üzleti hatáselemzés és kockázatértékelés elvégzése,
2. üzletmenet-folytonossági stratégia kidolgozása
3. üzletmenet-folytonossági eljárások kidolgozása,
4. gyakorlatok és tesztek kidolgozása és végrehajtása.
Akkor tudjuk a lehetséges összes hatásból megállapítani, hogy melyek minősülnek kritikusnak, ha előtte felállítottuk a rendszert átfogó helyreállítási célokat, időkereteket és a szolgáltatások elfogadható minimális szintjét.
Egyszerűen megfogalmazva, kritikus az az üzleti funkció, aminek mindig működőképesnek kell lennie, és kritikus az a hatás, más szóval forint vagy hírnév veszteség, amely a cég túlélését veszélyezteti.
Az üzleti hatáselemzés egyik lényeges outputja lehet egy olyan diagram, amely üzleti egységenként minden üzleti folyamatra bemutatja a folyamat megszakadásának hatását egy időskálán, akár összeg-szerűen, akár színkóddal jelölve az alacsony (zöld), közepes (sárga) vagy súlyos (piros) kategóriák szerint. Az értékelés alapján már megállapítható a kritikus folyamatok halmaza.
A kritikus üzleti hatásokhoz hozzá kell még rendelni azokat a létesítményeket, közműveket, technológiai rendszereket, beszállítókat és a kapcsolódó folyamatokat, amelyektől a kritikus üzleti funkciók függenek, és azokat is, amelyek ezektől a kritikus üzleti funkcióktól függenek.
A kockázatértékelés a továbbiakban ezekkel a kritikus folyamatokkal foglalkozik.
A szabvány a kockázatot úgy határozza meg, mint a bizonytalanság hatását a célokra, a kockázatértékelést pedig mint a kockázat azonosításának, elemzésének és becslésének átfogó tevékenységét. Más szavakkal, a kockázatértékelés folyamatában a szervezet
• azonosítja a szervezet kritikus tevékenységeinek és folyamatainak, rendszereinek, információinak, emberi erőforrásainak, vagyontárgyainak, kiszervezett tevékenységet végző partnereinek és egyéb erőforrásainak megszakadására ható kockázatait és
• szisztematikusan elemzi azokat, majd
• felméri, mely megszakadással összefüggő kockázatai igényelnek beavatkozást – a szervezet kockázati étvágyát is figyelembe véve, végül
• meghatározza az üzletmenet-folytonossági célokkal arányos kezelő tevékenységeket.
A kockázatok kezelésére meghozandó intézkedések jellege attól is függ, hogy a hatás és a valószínűség meghatározása alapján a kockázat mely kategóriába sorolható, amint azt az alábbi grafikon mutatja:

A kockázat besorolása a hatás és a valószínűség szerint
A kockázat besorolása a hatás és a valószínűség szerint

Az üzletmenet-folytonossági irányítási rendszerben jellemzően az alacsony valószínűségű, de magas hatású eseményekkel, az un. krízis helyzetekkel foglalkozunk. A tudatos döntésünk lehet a kockázatok megelőzése, csökkentése, elkerülése, áthárítása vagy akár a vállalása is.

2016.05.13.