V prvním díle jsme si vysvětlili, že připravovat se na krizové momenty potřebují všechny firmy. Naučili jsme se, že řízení rizik spojených s přerušením činností začíná definováním klíčových procesů a důkladnou analýzou rizik. Na příkladech z praxe jsme se pak poučili, že plány obnovy nestačí, ale že musíme připravovat plány kontinuity a ty pravidelně aktualizovat. Nestihli jste první díl? Přečtěte si ho tady.
6. Plány neválejte v šuplíku. Cvičte je každý rok
Plány obnovy a kontinuity leží někde ve skříni v šanonu celé zaprášené. Ví o nich jen pár manažerů, kteří si už nepamatují, co v nich stojí. Sci-fi? Ne, realita českých firem.
Plány musí znát každý zaměstnanec, a proto pravidelně vyhlašujte cvičení, třeba práce z domova nebo obsluhy klientů bez e-mailu. Všichni musí vědět, co pro ně vyhlášení plánu znamená, kam mají jít, co mají dělat a komu se hlásit.
Kritických procesů máte většinou tři až pět, takže jejich plány můžete cvičit každý rok. Možných scénářů narušení budete mít více, vždy si tedy vyberte jeden z nich. Jeden rok nacvičíte požár, další rok povodeň.
Pokud vaše firma má tisíce zaměstnanců a stovky procesů, cvičte podle organizačních jednotek, například podle krajů nebo okresů.
7. Kontinuitu řiďte průběžně
Řízení rizik řada společností považuje za statické. Udělají analýzu, vypracují plán a ten pak založí do šuplíku.
Řízení kontinuity je jeden nepřetržitý proces, který byste měli řídit na základě směrnic a politik. Měl by mít svou strategii a manažera. Nezapomínejte i na kontinuální zlepšování a poučování. Sepisujte si chyby a problémy, které jste zaznamenali během cvičení. Poučte se z nich a upravte podle nich plány. Řízení rizik musí reagovat na změny ve výrobě, procesech i regulacích.
8. Nepodřizujte kontinuitu provozu
Organizace zakomponovaly řízení kontinuity pod provoz. Manažeři zodpovědní za výrobu se pak vymlouvali slovy „Na takové věci nemáme čas. Potřebujeme řešit důležitější věci.“ Kde se stal problém?
Za ochranu klíčových činností nese zodpovědnost byznys, proto její řízení postavte mimo provoz, podobně jako audit. Nesmí se stát, že se řízení kontinuity bude přizpůsobovat potřebám provozu.
9. Smluvní pokuty nestačí. S dodavateli musíte sladit i řízení rizik
Automobilky se spoléhaly, že pod smluvními závazky a vysokými pokutami si dodavatelé nedovolí pochybit. Sytém Just-in-time ale selhal. Automobilky měly dostatek lidí i strojů. Chyběly jim ale díly.
Ztráty z přerušení výroby mohou násobně překonat výši pokut za nedodržení termínů. Řízení dodavatelského řetězce tak patří mezi nejdůležitější disciplíny business continuity.
Koordinujte ochranu vašich důležitých aktivit s vašimi dodavateli. Propojte své plány, nebo nechte dodavatele přizpůsobit se tomu vašemu. U kriticky důležitých dodavatelů si připravte postupy, jak v případě výpadku dodávek rychle aktivovat náhradního dodavatele. Každý dodavatel může selhat. Mějte v záloze další, kteří rychle naskočí a dodají vše potřebné. Držte si nutné skladové zásoby materiálů a dílů.
10. Kryjte si záda. Krize chodí i pod dvou
Na českou nemocnici zaútočil ransomware. Systémy se nepodařilo obnovit ani za téměř dva týdny a nemocnice neměla připravené postupy udržení zdravotní péče. Organizaci fungující v klíčovém odvětví chyběl pořádný plán kontinuity.
Ransomware může napadnout každého. Hackeři a jiní zločinci v době krize svou činnost ještě znásobují. Není tedy nic divného, že v době covidu kybernetických útoků násobně přibylo. Za normálních okolností se odvracení útoku může věnovat více lidí, v krizi se ale řeší více problémů naráz a hackeři mají větší šanci uspět. Jako šelma útočí na nejslabší kusy, hackeři útočí na nejzranitelnější instituce. Nezapomínejte se připravit na příchod více krizí současně.
Pro případ více krizí mějte připravený tým, který bude řešení všech problémů prioritizovat a koordinovat. Také můžete předem nasmlouvat záložní kapacity, kterými vám partner vypomůže než stihnete obnovit vaše procesy.
