Πλάνο διατήρησης της επιχειρηματικής λειτουργίας

Η πλειονότητα των εταιρειών οι οποίες θα "επιβιώσουν" μετά από κάποιο συμβάν που θέτει σε κίνδυνο τις υποδομές και το προσωπικό, θα είναι εκείνες των οποίων η φιλοσοφία λειτουργίας λαμβάνει σοβαρά υπόψη τη διαχείριση του κινδύνου, αναθεωρώντας τακτικά επιχειρηματικά σχέδια και οράματα πάνω σ αυτόν τον άξονα.

Οι επιχειρήσεις σήμερα λειτουργούν σε περιβάλλον γεμάτο από επιχειρηματικούς κινδύνους και αβεβαιότητα Η αναγνώριση του κινδύνου και η διαχείρισή του αντίστοιχα, παραμένουν  έννοιες ηθελημένα δυσνόητες και ακατάληπτες ή ως επί το πλείστον, έννοιες και πρακτικές, μη λαμβανόμενες υπόψη.

Πολλές εταιρείες επενδύουν σημαντικό χρόνο και οπωσδήποτε σημαντική ποσότητα χρημάτων, προκειμένου να καταστούν βιώσιμες, να αποκτήσουν σταθερή πελατειακή βάση και βεβαίως, οι σχέσεις τους με τρίτους ( π.χ. προμηθευτές) να διατηρούνται στο καλύτερο δυνατό επίπεδο.

Τώρα φανταστείτε, πως όλα αυτά για τα οποία οι εταιρείες έχουν αφιερώσει χρόνο και χρήματα, εξαιτίας ενός συμβάντος (π.χ. παρατεταμένη απουσία ενέργειας, σεισμός, πλημμύρα), μέσα σε δευτερόλεπτα παύουν να υπάρχουν.
Πώς λοιπόν θα εξασφαλιστεί η συνέχιση της επιχειρηματικής δραστηριότητας;
Ο προγραμματισμός (δηλαδή η ύπαρξη πλάνου) συνέχισης/ διατήρησης της επιχειρηματικής δραστηριότητας (Business Continuity Planning-BCP), κατά τη διάρκεια διακοπής εξαιτίας αναπάντεχου γεγονότος, με την ταυτόχρονη δυνατότητα διαχείρισης της επιχειρηματικής συνέχειας (Business Continuity Management-BCM), είναι οι αντικειμενικά αναγκαίες συνθήκες που πρέπει να είναι παρούσες -δηλαδή να έχουν ήδη αναπτυχθεί ως δράσεις αντιμετώπισης οποιουδήποτε απρόβλεπτου συμβάντος, όπως:

• Φωτιά
• Πλημμύρα
• Καιρικά φαινόμενα
• Απειλή για βόμβα
• Ζημιές από έκρηξη βόμβας
• Βανδαλισμός, π.χ. σπασμένα γυαλιά που εμποδίζουν την είσοδο στο χώρο εργασίας
• Βλάβη στο σύστημα θέρμανσης/ψύξης, με αποτέλεσμα το προσωπικό να είναι απόν
• Διακοπή (μερική ή ολική) των δικτύων κοινής ωφέλειας
• Τρομοκρατική ενέργεια.

Όλες αυτές οι παράμετροι είναι δυνατό να επηρεάσουν αρνητικά λειτουργίες και διαδικασίες. Στην επιστήμη της ασφάλειας, το απρόβλεπτο συμβάν με αρνητικές επιπτώσεις, αντιστοιχεί στην έννοια της λέξης κίνδυνος και εκφράζεται με την εξίσωση:

                                              Kίνδυνος = Απειλή + Τρωτότητα + Επίπτωση
                                                     R      =       Th    +      Vn          +      Im

Σαφέστατο λοιπόν είναι ότι εκτιμούμε τον κίνδυνο υποκειμενικά, αναλύοντας τις απειλές, προσδιορίζοντας την τρωτότητα με βάση τις απειλές και στη συνέχεια τις επιπτώσεις του κινδύνου στο/ στα τρωτά σημεία. Η συγκεκριμένη παραπάνω διεργασία και τα ευρήματά της είναι ο κορμός πάνω στον οποίο στηρίζεται, αναπτύσσεται και δομείται το πλάνο συνέχισης/ διατήρησης της επιχειρηματικής δραστηριότητας. Το εν λόγω πλάνο εστιάζεται στο Τι, στο Ποιος, στο Πώς και στο Πότε.
Εξασφαλίζεται, με προϊούσες τις παραπάνω συνθήκες, ότι η επιχείρηση είναι κατά το μέτρο του δυνατού προετοιμασμένη και αντιδρά στο απρόβλεπτο συμβάν σε συγκεκριμένο χρόνο και με συγκεκριμένο τρόπο, για κάθε επιμέρους τμήμα της & εν συνόλω. Πολλές επιχειρήσεις και οργανισμοί πιθανόν να έχουν (;) σχέδια αντιμετώπισης καταστροφών, όμως το Σχέδιο Συνέχισης Επιχειρηματικής Δραστηριότητας (ΣΣΕΔ) δεν περιλαμβάνει μόνον τις διαδικασίες αντιμετώπισης/ χειρισμού μείζονος σημασίας καταστροφών (π.χ. ολοκληρωτική απώλεια εγκαταστάσεων), αλλά και αυτές που εμείς θεωρούμε ήσσονος σημασίας (λάθος), όπως π.χ. το ότι τίθεται εκτός το δίκτυο των υπολογιστών ενός συνόλου, π.χ. για μιάμιση ώρα.
Σύμφωνα με στοιχεία από διεθνείς έρευνες σε επιχειρήσεις, προέκυψε ό,τι :

• Το 28% δήλωσε ότι δεν τους απασχολεί η ύπαρξη ΣΣΕΔ.
• Η ύπαρξη πλάνου συνέχισης/ διατήρησης της επιχειρηματικής λειτουργίας, αποτελεί προτεραιότητα για το 70% των επιχειρήσεων το 2006, έναντι του 60% το 2005.
• Το 30% των επιχειρήσεων που ρωτήθηκαν, δήλωσαν ότι αντιμετώπισαν κάποιο είδος καταστροφής.
• Το 9% των επιχειρήσεων που αντιμετώπισαν κάποιας μορφής καταστροφή, δήλωσε ότι το ημερήσιο κόστος ανάκαμψης από την καταστροφή ξεπέρασε τις 500.000 USD.

Επομένως, ο σχεδιασμός συνέχισης της επιχειρηματικής λειτουργίας ενός συνόλου, είναι ουσιαστικά το μέτρο με βάση το οποίο το σύνολο αντιπαρέρχεται ατυχήματα, τα οποία θα επηρεάσουν κρίσιμες λειτουργίες και διαδικασίες, εξασφαλίζοντας ότι το  σύνολο "αντιδρά" σε συγκεκριμένο χρόνο και με συγκεκριμένο τρόπο, σε σχέση με τις υποδομές & τους υπαλλήλους του, την επιχειρηματική του λειτουργία και την υποδομή πληροφορικής του. Η εν λόγω αντίδραση δεν είναι απλώς μία διαδικασία ανάκαμψης από καταστροφή, μία διαχείριση κρίσης, μία διαχείριση κινδύνου ή αποκατάσταση λειτουργίας δικτύων. Αναδεικνύει την ευκαιρία αναθεώρησης του πώς το σύνολο "κινείται" και υλοποιεί δράσεις, πώς τροποποιεί/ καλυτερεύει τις  διαδικασίες και τέλος, πώς αυξάνει τη δυνατότητα προσαρμογής, σε οποιασδήποτε μορφής διακοπή ή απώλεια.
Η απώλεια ή ο τραυματισμός κάποιου από το προσωπικό του συνόλου που κατέχει σοβαρή θέση, είναι ένα είδος κινδύνου, το οποίο τις περισσότερες φορές δεν συνειδητοποιείται. Με βάση το λογικό επιχείρημα, αλλά και την πραγματικότητα ότι το προσωπικό και οι ιδιαίτερες ικανότητές του είναι οι παράμετροι επιτυχίας μιας επιχείρησης, τι θα συμβεί εάν:

• Τρία βασικά μέλη του προσωπικού ενός συνόλου παραιτηθούν και εργάζονται για κάποιον ανταγωνιστή, ποιες είναι οι πιθανότητες επιβίωσης του συνόλου;
• Κάποιοι από τους υπαλλήλους του συνόλου παντρευτούν και λείψουν ταυτόχρονα την ίδια περίοδο, ποιος θα τους αναπληρώσει;
• Από την τελευταία φορά όπου οι συνθήκες/ διαδικασίες ασφάλειας & υγιεινής του συνόλου ελέγχθηκαν, αναθεωρήθηκαν κατόπιν;

Σήμερα, το σύνολο των επιχειρήσεων ενεργεί ή/και βασίζεται στη χρήση της τεχνολογίας. Τι θα συμβεί εάν το σύστημα πληροφορικής και τα τηλέφωνα του συνόλου δεν λειτουργούν για τρεις ημέρες;

• Θα έχει τη δυνατότητα επικοινωνίας με τους πελάτες;
• Θα διακοπεί η επιχειρηματική διαδικασία;
• Τι εναλλακτικές λύσεις θα εφαρμόσει και πόσο χρόνο θα πάρει;
• Tι θα κάνει προκειμένου να εξασφαλίσει πρόσβαση σε ζωτικής σημασίας στοιχεία, ακόμη και εάν η υποδομή πληροφορικής έχει καταστραφεί;
• Εάν έχει κλαπεί υπολογιστής, υπάρχει πιθανότητα ευαίσθητες πληροφορίες να περιέλθουν σε "λάθος" χέρια;
• Tι θα συμβεί εάν ο ανταγωνιστής γίνει κάτοχος κρίσιμων δεδομένων;

 
Η δέσμευση της υψηλότερης βαθμίδας διοίκησης του συνόλου, αποτελεί το σημείο εκκίνησης κάθε ΣΣΕΔ. Το ΣΣΕΔ πρέπει να αποτελεί μέρος του γενικότερου στρατηγικού επιχειρηματικού σχεδιασμού, με δέσμευση των αντίστοιχα αναγκαίων πόρων ξεχωριστά. Η ύπαρξη γραπτής δήλωσης (π.χ. εσωτερική εγκύκλιος) της υψηλότερης βαθμίδας διοίκησης του συνόλου, με την οποία αναγνωρίζεται η αναγκαιότητα και η αξία ύπαρξης τέτοιου σχεδιασμού, η αποδοχή του αναγκαίου κόστους, η τεκμηρίωση αρμοδιοτήτων και οι στόχοι του σχεδίου σε συνάρτηση με τα προσδοκόμενα αποτελέσματα του σχεδιασμού, αποτελούν το επόμενο βήμα.
Στη συνέχεια, ακολουθεί η συγκρότηση της ομάδας σχεδιασμού & διαχείρισης, η οποία είναι υπεύθυνη για τη σύνταξη, εφαρμογή, αναθεώρηση και διατήρηση σε ισχύ του ΣΣΕΔ, προς την οποία έχει δοθεί εξουσιοδότηση (δηλαδή πρόσβαση σε όλα & σε όλους). Επιλέγεται ο επικεφαλής της ομάδας και εγκαθίσταται (στην ομάδα) σύστημα κατανομής αρμοδιοτήτων (line of authority) και διοίκησής της (chain of command) μεταξύ των μελών και του επικεφαλής της ομάδας.
Αναγκαία συνθήκη όλων αυτών είναι τα μέλη της ομάδας να κατανοήσουν ότι το εγχείρημα είναι μία συνεχής διαδικασία και όχι συμβάν με χρονικό ορίζοντα λήξης ή περαίωσης, ο αριθμός των μελών της ομάδας είναι συνάρτηση του μεγέθους της επιχείρησης και προέρχονται (τα μέλη) από όλα τα τμήματα. Γιατί; Διότι το ΣΣΕΔ, απαιτεί για τη συγκρότησή του στοιχεία από τα επιμέρους τμήματα του συνόλου της επιχειρησιακής δομής, καθώς επίσης την υποστήριξή τους στη φάση ανάπτυξης και εφαρμογής του, ενώ σύμφωνα με τη διεθνή πρακτική, μέλη της ομάδας συνήθως είναι οι επικεφαλής των τμημάτων.
Κατόπιν καθορίζονται:

• Χρονοδιαγράμματα παραδοτέων μελετών/αναλύσεων/δράσεων.
• Οικονομικοί πόροι.
• Ανάθεση συγκεκριμένων αρμοδιοτήτων.
• Σύνθεση της ομάδας διαχείρισης κρίσεων.

Η ομάδα προχωρεί στην ανάλυση της επιχειρησιακής/επιχειρηματικής λειτουργίας του συνόλου και με βάση αυτήν την ανάλυση καθορίζει το τι είναι "αναγκαίο" για τη συνέχιση ύπαρξης/λειτουργίας του συνόλου. Όταν καθοριστεί/αναγνωριστεί το τι είναι "αναγκαίο" από πλευράς προϊόντων, υπηρεσιών και λειτουργιών, τότε οριοθετούν τα μέλη της ομάδας κάποια ιδιαίτερα στοιχεία, όπως:

• Ποιοι είναι οι κυρίαρχοι επιχειρηματικοί στόχοι του συνόλου; Για ποιον λόγο λειτουργεί το σύνολο;
• Ποια είναι τα προϊόντα ή/και οι υπηρεσίες;
• Πώς επιτυγχάνεται η επίτευξη των επιχειρηματικών στόχων του συνόλου, με ποιους & ποιος ο βαθμός αλληλεξάρτησης μεταξύ τους; (Αφορά εσωτερικούς και εξωτερικούς πόρους).
• Ποιες οι ζωτικής σημασίας υποστηρικτικές λειτουργικές παροχές π.χ. ενέργεια, νερό, αποχέτευση, επικοινωνίες και μεταφορές;

Πλάνο ανάκαμψης
Εστίαση λοιπόν, όχι στο τι πιθανά θα προκαλέσει διακοπή λειτουργίας του συνόλου, αλλά στο τι θα το επαναφέρει στη λειτουργία (Recovery). Τι σημαίνει ή τι είναι πλάνο επαναφοράς ή ανάκαμψης επιχειρηματικής λειτουργίας;
Το πλάνο ανάκαμψης είναι ένα γραπτό κείμενο καθορισμού διαδικασιών, ρόλων και κρίσιμων πληροφοριών, αναγκαίων προκειμένου να επιτευχθεί η επιχειρηματική ανάκαμψη από απώλεια υποδομών, πληροφοριών, ειδικευμένου προσωπικού κ.λπ.
Γενική παραδοχή: Βασική παράμετρος επιτυχίας του ΣΣΕΔ είναι ότι η ομάδα που το αναπτύσσει, είναι εκείνη η οποία και θα επιφορτιστεί με τη διαδικασία ανάκαμψης, σε περίπτωση κινδύνου.
Ο σχεδιασμός ανάκαμψης θα πρέπει να:

• Αναπτύξει ή χρησιμοποιήσει διαθέσιμες ή/και ωφέλιμες (σε σχέση με το κόστος τους) στρατηγικές ανάκαμψης.
• Αναγνωρίσει και βαθμονομήσει επιμέρους κρίσιμες επιχειρηματικές λειτουργίες & διαδικασίες, βασισμένος στο για πόσο χρονικό διάστημα το σύνολο μπορεί να επιβιώσει χωρίς αυτές.
• Μειώσει τη σύγχυση κατά τη διάρκεια της "χαοτικής περιόδου", τεκμηριώντας την ιεράρχηση των ενεργειών της ανάκαμψης, μειώνοντας τις επιπτώσεις στο σύνολο από την τυχόν παρατεταμένη αδράνεια.
• Αναγνωρίσει το ελάχιστα απαιτούμενο επίπεδο πόρων, ορίζοντας την πηγή κάθε πόρου.
• Περιέχει γραπτές βήμα-βήμα διαδικασίες και τεκμηρίωση κάθε τμήματος του σχεδιασμού, σε σχέση με κάθε συμβάν.
• Ελέγχεται, συντηρείται μέσω ασκήσεων και να αναβαθμίζεται ετησίως, προκειμένου να εξασφαλίζεται η συνέχεια και συνέπεια.

Το ΣΣΕΔ είναι επιτυχημένο όταν:

• Η προσέγγιση για την εκπόνησή του, είναι τμήμα της φιλοσοφίας του συνόλου.
• Βασίζεται σε ολοκληρωμένη και αντικειμενική ανάλυση επιπτώσεων, η οποία αναθεωρείται περιοδικά.
• Γίνεται αποδεκτό, ως ιδιαίτερο χαρακτηριστικό του συνόλου.
• Συμβάλλει στη συνολική παραγωγικότητα, ποιότητα και επιτυχία του συνόλου.
• Ελέγχεται ρεαλιστικά και με το ανάλογο άγχος, ως πραγματική κατάσταση.
• Υπάρχει διόρθωση δράσεων μετά τον έλεγχο (άσκηση).
• Αναθεωρείται ή αναθεωρούνται επιχειρηματικές κινήσεις του συνόλου (οργανωτικές, στόχοι) όπως προσλήψεις νέου προσωπικού, απολύσεις κ.λπ.
• Αποδίδει ιδιαίτερο βάρος σε οικονομικές τεχνικές πρόληψης και μέτρα αντίδρασης.

Επίσης, για είναι πετυχημένο ΣΣΕΔ πρέπει να οριστούν οι αντικειμενικοί χρόνοι ανάκαμψης, δηλαδή η μέγιστη χρονικά απαιτητή διάρκεια ανάκαμψης κάθε επιμέρους λειτουργίας, βαθμονομώντας την αντίστοιχα, σε:

• Ζωτικής σημασίας (Προτεραιότητα 1): Σηματοδοτεί λειτουργίες ή υπηρεσίες, οι οποίες πρέπει άμεσα να λειτουργήσουν μέσα στο πρώτο 24ωρο μετά το συμβάν.
• Κρίσιμης σημασίας (Προτεραιότητα 2): Σηματοδοτεί λειτουργίες ή υπηρεσίες, οι οποίες πρέπει να λειτουργήσουν μέσα στις πρώτες 72 ώρες μετά το συμβάν.
• Απαραίτητη (Προτεραιότητα 3): Σηματοδοτεί λειτουργίες ή υπηρεσίες, οι οποίες πρέπει να ενεργοποιηθούν μέσα στις δύο επόμενες εβδομάδες μετά το συμβάν.
• Επιθυμητή (Προτεραιότητα 4): Σηματοδοτεί λειτουργίες ή υπηρεσίες, στις οποίες είναι δυνατό να καθυστερήσει η ενεργοποίησή τους πάνω από δύο εβδομάδες – ή και περισσότερο – μετά το συμβάν, ώστε σταδιακά να επανέλθει το σύνολο στην πλήρη επιχειρησιακή του λειτουργία.

Πίνακας Παραδείγματος Αναγνώρισης / Καταγραφής
Κρίσιμων Λειτουργιών