Pentru continuitatea afacerii, acceptați neașteptatul

Pentru continuitatea afacerii, acceptați neașteptatul

Este un lucru să te aștepți la neașteptat. Este cu totul altul să accepti neașteptatul. Negarea este un lucru puternic și chiar cel mai bun dintre noi poate fi convins că planurile noastre sunt cuprinzătoare și pregătirea noastră completă.

Modalitățile cheie de a depăși acest tip de neplăcere sunt de a lega în mod semnificativ gestionarea crizelor și continuitatea afacerii și încorporarea principiilor Adaptive Continuity Business care permit unei organizații să reacționeze rapid la neașteptat.

Consideră că numai ultimii ani au cunoscut anotimpuri de uragan din ce în ce mai active, atacuri cibernetice majore împotriva corporațiilor globale și pierderi secundare ale infrastructurii cheie în urma unor catastrofe majore. Organizațiile din sectorul public și cel privat solicită echipelor lor să facă mai mult cu mai puțin, în același timp performând la standarde mai înalte. Nevoia de a recupera rapid din pierderi este la fel de importantă ca de fiecare dată, în timp ce în multe cazuri resursele sunt mai subțiri decât erau înainte. Aceste realități necesită abordări noi și inovatoare.

În plus, pe măsură ce societatea noastră crește din ce în ce mai interconectată, întreprinderile, organizațiile și guvernele vor depinde unul de celălalt pentru a asigura toleranțe mai stricte și mai stricte. Regulatorii de utilitate și comunicații, de exemplu, solicită ca companiile să îndeplinească standarde mai stricte de fiabilitate. Această tendință va continua pentru viitorul previzibil.

Între timp, costurile și consecințele incidentelor la scară largă vor crește. Evenimentele în caz de dezastre au cerut peste 11.000 de victime la nivel mondial în 2018. Pierderile estimate din catastrofele naturale și provocate de om în 2018 sunt estimate la 155 de miliarde de dolari, pierderile asigurate la nivel global fiind estimate la aproximativ 79 de miliarde de dolari, conform datelor Grupului Elvețian Re.

Aceste condiții pictează o imagine înfricoșătoare, dar există aici oportunitatea. Un program bine conceput de continuitate a afacerilor, legat în mod clar de activitățile de gestionare a crizelor, poate fi o sursă de valoare pentru o organizație – nu numai ca răspuns la dezastre, ci și în zilele de „cer albastru”. Programul de continuitate a afacerii (BC) și practicienii săi pot deveni parteneri de afaceri cu organizație.

O comandă înaltă?

Marile organizații confruntate cu crize pot alege să accepte neașteptatul, să adopte un nou normal și să scoată tot ce este mai bun în ei și în oamenii lor. În acest sens, ei iau o poziție de forță care recunoaște criza ca formă de schimbare și o redefinesc pentru un viitor mai bun.

Pentru a face acest lucru, organizația trebuie să fie în măsură să răspundă – nu doar atunci când are loc o criză sau o întrerupere de afaceri, ci înainte. Realizat cu îndemânare, un program de continuitate a afacerii nu poate doar să permită un răspuns mai bun, ci și să favorizeze îmbunătățirea continuă și să identifice zonele de îmbunătățire operațională pe parcurs.

Managerii de securitate sunt într-o poziție-cheie pentru a-și influența organizațiile dacă adoptă noțiuni practice în abordarea BC. Și, în unele cazuri, managerul de securitate este însărcinat să creeze un nou program BC, unde nu a existat nici unul sau mai rău – cu reînvierea unuia care a părăsit.

Cum se procedează? Prin conectarea BC la furnizarea unei îmbunătățiri continue și a valorii operaționale și prin conectarea într-un mod semnificativ a gestionării crizelor și a BC.

Pentru a obține cele mai bune rezultate, continuitatea afacerii depinde de efortul de planificare și pregătire care vine împreună cu răspunsul și recuperarea. Aici are loc adevărata blocare și abordare a activității BC.

Unele industrii și autorități de reglementare sunt în mod decisiv prescriptive cu privire la activitățile cerute de programele BC în conformitate cu scopul lor. Mandatesc activități precum evaluarea riscului, completarea unei analize a impactului asupra afacerilor, obținerea de achiziții de la conducerea superioară, instruire, validare, testare și exercitare, documentare și comunicare. Acest lucru este valabil mai ales în sectorul financiar și în industria medicală.

Liniile directoare de bună practică ale Institutului de continuitate a afacerilor și standardul ISO 22301 sunt puncte de plecare bune în care este necesară sau preferată o astfel de certificare acreditată. Cu toate acestea, astfel de practici tradiționale nu sunt singura cale către un program BC semnificativ.

Capcanele tradiției

În unele cazuri, activitățile și abordările asociate în mod tradițional cu planificarea continuității pot reprezenta un obstacol în implementarea unui program. În timp ce acestea pot avea locul lor adecvat în multe contexte BC, ele pot prezenta și provocări.

Acest lucru este valabil mai ales în cazurile în care o organizație poate avea o latitudine mai mare în proiectarea unui nou program sau revizuirea unuia existent sau în organizații cu o cultură care favorizează procesele iterative, agile, peste cele liniare, secvențiale. În aceste cazuri, poate fi de preferat să punem accentul principal pe furnizarea rapidă a valorii.

De exemplu, un concept esențial al multor activități de planificare a BC este accentul pus pe obiectivele timpului de recuperare (RTO). Utilizarea RTO-urilor este destinată să ajute la cuantificarea nevoilor de recuperare, să acorde prioritate activității de răspuns și să planifice activitățile.

Cu toate acestea, utilizarea timpului ca țintă, în loc de o restricție, poate fi problematică. În practică, de multe ori RTO și obiectivele punctului de recuperare (RPO) sunt subiective sau chiar arbitrare. Acestea sunt aplicate cel mai bine acolo unde există restricții de timp cu adevărat statice, precise și predeterminate, cum ar fi limitele de timp, încălcările sau probleme specifice de sănătate și siguranță. În caz contrar, efortul depus pentru a ajunge și asigura un RTO poate să nu returneze valoarea. Cu alte cuvinte, dacă este clar că neîndeplinirea unui interval de șase ore pentru restaurarea serviciilor va duce la o amendă de reglementare a unei sume specifice în dolari, procesul de luare a deciziilor devine destul de simplu, deoarece investițiile în îndeplinirea OPR pot fi cântărite clar împotriva riscului de sancțiuni.

O altă piatră de temelie a lumii BC este analiza impactului asupra afacerilor (BIA). În timp ce BIA poate fi un instrument de neprețuit pentru practicantul BC, poate fi și un subiect plin de confuzie.

În realitate, succesiunea adecvată a restaurării serviciilor va depinde întotdeauna de natura exactă a situației post-dezastru. Ca atare, răspunsurile trebuie să fie flexibile și adaptative. Acest lucru este valabil mai ales în mediul de azi, în care cauza unei întreruperi a serviciilor ar putea să nu fie imediat evidentă – ca în cazul unui cyberattack deliberat.

Ca urmare a întregii activități, poate fi generată o cantitate copleșitoare de documentație care trebuie păstrată, întreținută și actualizată. Dar se folosește rar în activitățile de răspuns efectiv. În unele cazuri, BC și planurile de răspuns sunt atât de voluminoase încât nu ar putea servi un scop practic într-o urgență reală. Ei devin raftul proverbial.

În sfârșit, metodele tradiționale subliniază obținerea unui sprijin executiv exclusiv la nivel înalt și o facem de la început. Deși este important, poate fi mai semnificativ să te implici la multe niveluri în organizație.

Adevăratul pericol este alunecarea într-o capcană în care organizația desfășoară o activitate extinsă de continuitate a afacerii de dragul continuității afacerii, care nu oferă decât valoare arbitrară sau periodică și ar putea crea un fals sentiment de pregătire în departamentele unde există puține lucruri. În schimb, obiectivul ar trebui să fie legarea în mod explicit cu obiectivele organizației și să ofere valoare treptat și continuu.

O abordare practică

Luați în considerare unele dintre următoarele abordări practice în conectarea BC la furnizarea de îmbunătățire continuă și valoarea operațională. Acestea sunt noțiuni împrumutate direct din abordarea numită Adaptive Business Continuity. Cinci dintre principiile de bază ale Adaptive BC, prezentate aici, sunt esențiale pentru un parteneriat mai bun între gestionarea crizelor și continuitatea activității.

Exercițiu mai întâi. În abordarea strict secvențială adesea favorizată de practicienii tradiționali BC, testarea și exercitarea vin în etapele ulterioare ale ciclului, după ce planurile și evaluările au fost finalizate.

Dar exercițiile bazate pe discuții sunt cele mai puternice instrumente pe care o organizație le poate utiliza pentru a identifica lacunele în planificare și pentru a aborda ipotezele atât în ​​răspunsul la gestionarea crizelor, cât și în BC. Dolar pentru dolar, nu există o valoare mai bună. Atunci de ce să nu începi acolo? Parcurgând un scenariu ca grup, o echipă poate localiza rapid și ușor lacune și identifica soluții.

Astfel de exerciții pot fi ușoare și chiar informale. Cheia este să ai o abordare directă, concentrată, determinată de unul sau două obiective clar definite.

De exemplu, obiectivul acestui exercițiu ar putea fi evaluarea mărimii inițiale și răspunsul la un eveniment neplanificat; evaluarea protocolului de escaladare definit în documentele de planificare; sau pentru a revizui capacitatea organizației de a activa planul de gestionare a crizelor.

Conducând către obiectiv, o echipă de planificare se poate îndepărta de scenarii de exerciții excesiv de complexe. Inevitabil, discuția va descoperi fructele reduse de natură operațională; jucătorii de exerciții vor stabili conexiuni personale mai strânse; iar echipa colectivă va identifica lacunele din jurul obiectivelor prestabilite.

În consecință, rezultatele au o valoare imediată și pot fi utilizate pentru a conduce planificarea acțiunilor pe termen mediu și lung. Și, făcând acest lucru, echipa a stabilit, de asemenea, conexiuni clare între BC și capacitățile de gestionare a crizelor.

Simplificați documentația. Elaborarea gestionării crizelor și planurile BC care au o lungime de sute de pagini sunt un detriment în trei moduri critice. În primul rând, necesită întreținere extinsă – adesea intensivă a muncii – și actualizări continue. În al doilea rând, acestea nu sunt practice într-o criză reală. În cele din urmă, acestea nu sunt activități generatoare de valoare. Activitatea BC și documentația în interesul său este o problemă comună.

Simplificați planurile pentru a putea fi interiorizate și amintite cu ușurință de persoanele care trebuie să le cunoască. Dacă este cazul, listele de verificare sunt un instrument excelent.

Excepțiile, desigur, sunt cazurile în care astfel de planuri sunt obligatorii sau cerințe de reglementare, cum ar fi în industriile de finanțe și asistență medicală. În lipsa oricărei cerințe sau a altor nevoi convingătoare, documentația voluminoasă ar trebui să fie înlocuită de cărți de joc subțiri, orientate către utilizator.

Un exemplu practic în acest sens este o organizație cu o politică de răspuns la incidente corporative de 75 de pagini. Liderii cheie ai organizației au recunoscut că, din cauza duratei politicii, aceasta a fost ignorată în mod universal – reprezentând un risc critic. Soluția a fost reducerea elementelor cele mai semnificative ale utilizatorului final al politicii – ceea ce respondentul trebuie să știe cu adevărat mai întâi – într-o infografie de o pagină.

Infografia a fost introdusă echipelor de lucru printr-o serie de exerciții scurte, concentrate pe masă. Echipele au fost invitate să folosească și să rupă aspectele cheie ale proceselor conținute în infografie.

În timpul exercițiilor, echipele au descoperit, de asemenea, lacune și ipoteze de comunicare critice și au putut să le abordeze. Aceștia au formulat fraza „Nu vă supărați pentru a scăpa” pentru a conduce acasă soluția lor la problema de comunicare. În acest sens, aceștia au oferit valoare imediată organizației, au îmbunătățit eficiența operațională și au stabilit o bază pentru îmbunătățirea continuă a capacităților BC și de gestionare a crizelor.

Îmbunătățirea continuă. Cel mai convingător caz pe care un profesionist BC îl poate face unui client sau al unui constituant este acela că costul și efortul necesar pentru activitățile propuse în legătură cu BC vor oferi o rambursare imediată, precum și o îmbunătățire continuă, iterativă pe parcursul întregului proces.

Fără documentație de dragul său și cu un ciclu BC strict secvențial, profesionistul BC descoperă oportunitatea de a juca mai mult un rol de partener în afaceri. În cazul în care sunt necesare măsuri de performanță precum RTO, împreună cu luarea unui inventar al proceselor cheie de afaceri, discuțiile despre aceste subiecte nu ar trebui să se axeze pe o țintă arbitrară.

Mai degrabă, există o oportunitate de a angaja părțile interesate cu privire la obiectivele lor pentru organizație și de a raționaliza rezultatele evaluărilor lor – provoacă-i să aplice propria lor intuiție asupra țintelor și să vadă dacă trec testul bunului simț. Și întrebând de ce este ținta acolo, puneți-vă în discuție cum poate fi atinsă într-o zi mai eficientă „ziua cerului albastru”.

Procesul BC poate fi o sursă de îmbunătățire continuă, oferind un loc pentru aceste conversații între părțile interesate. Oamenii sunt dornici să împărtășească experiențe personale de lucru prin crize – cu rezultate pozitive sau negative pentru organizație – mai ales într-un cadru în care această experiență poate adăuga valoare.

De exemplu, o organizație a recunoscut că lista proceselor sale de afaceri esențiale este detaliată și complicată. O discuție foarte sinceră, de bun simț, a redus această listă de la zeci de articole la șase, dintre care doar unul a fost considerat critic. În consecință, procesul de gestionare a BC a fost simplificat, iar cadrul de răspuns la gestionarea crizelor a fost mai ușor de interiorizat.

Planificați efectele. Cauzele catastrofei sunt nenumărate. Nu putem planifica pentru orice eventualitate și chiar dacă am putea, planurile noastre cele mai bine puse de cele mai multe ori sunt depășite de evenimente. În schimb, ar trebui să ne concentrăm pe efecte.

Generațiile de lideri militari au înțeles că „Niciun plan nu supraviețuiește primului contact cu inamicul.” Noțiunea este familiară și adesea repetată în contexte mai contemporane, dar poate cel mai bine de Mike Tyson: „Toată lumea are un plan până când se lovește în gură. “

Luați în considerare fenomenele meteorologice extreme experimentate de nord-estul SUA în 2011 și 2012. În toamna anului 2011, zona a cunoscut un nor’easter și uraganul Irene în succesiune rapidă. În toamna următoare, în 2012, a avut loc un alt nor’easter și Superstorm Sandy.

Toate cele patru evenimente pot fi ușor descrise ca furtuni, dezastre naturale sau vreme extremă. Cu toate acestea, cauzele acute ale urgenței localizate au fost extrem de specifice. Fiecare furtună avea propriul său caracter unic: inundații interioare, inundații de coastă, eveniment de zăpadă sau eveniment de copac. Unii ar susține că acest lucru necesită patru tipuri unice de planuri – sau că fiecare cauză are nevoie de un plan corespunzător.

Dimpotrivă, efectele acestor catastrofe sunt mult mai puține. Efectele vor fi doar indisponibilizările neașteptate ale persoanelor (personalului), locurilor (facilităților) sau lucrurilor (resurse și furnizori critici).

Concentrarea pe efecte face o planificare mult mai simplă, mai semnificativă și mai ușor de gestionat.

Cunoașteți afacerea. Mai presus de toate, persoanele responsabile de desfășurarea oricărei activități BC sau de gestionare a crizelor trebuie să cunoască afacerea. Practicanții BC ar trebui să se alinieze îndeaproape cu echipele operaționale la toate nivelurile organizației – nu doar la nivel de conducere. A avea sprijin executiv este benefic pentru rezultatele de conducere, dar descoperirea adevărului de bază vine din partea echipelor de prim rang. Cei mai buni profesioniști din BC nu conduc doar un ciclu BC arbitrar. Înțeleg oamenii, locurile și lucrurile care fac ca unitatea de afaceri să bifeze – și de ce.

Dacă considerăm că gestionarea crizelor este o oportunitate neașteptată de schimbare, atunci BC ar trebui să servească drept corolarul practic, sensibil. Cu alte cuvinte, lecțiile învățate în răspunsurile acute la crize pot fi accentuate în îmbunătățiri operaționale și, în final, mai mari reziliențe atunci când sunt încorporate de procesul BC.

Cel mai mare client al profesionistului BC din orice organizație este operațiunile. Furnizarea valorii în timpul crizei înseamnă o integrare strânsă între continuitatea afacerii, gestionarea crizelor și nevoile reale ale afacerii.

Dacă acceptăm că organizațiile vor continua să fie contestate în mod neașteptat de mediul extern – și că acest lucru va duce la pierderi – trebuie să analizăm modul în care eforturile noastre BC se potrivesc cu cerințele care le sunt solicitate.

Organizația care se află într-o poziție de forță este cea care s-a inventariat cu adevărat, și-a evaluat propriile presupuneri și a folosit ceea ce învață pe parcurs – nu doar în momentul crizei sau al întreruperii afacerii.

Calea către acest rezultat poate urmări un traseu tradițional, prescriptiv, așa cum este definit în ISO și în Ghidul de bune practici, dar poate, de asemenea, să ia forme mai inovatoare și continue, conectând BC și gestionarea crizelor la obiectivele și orientarea organizației. O abordare mai practică, agilă și slabă, precum cea descrisă de Adaptive Business Continuity este probabil să ofere mai multă valoare – și într-un ritm mai rapid – decât practicile tradiționale pe care le avem în prezent.

Brendan Monahan este președintele Consiliului internațional ASIS pentru gestionarea crizelor și continuitatea afacerilor. Este director asociat la Novartis, responsabil pentru coordonarea continuității activității și pentru gestionarea riscurilor și a crizei / situațiilor de urgență în regiunea țării americane.   

Citeste mai mult pe: ASIS Online