Distribuie

 

„A good plan today is better than a perfect plan tomorrow.“

E un truism, dar unul de actualitate anul acesta, când majoritatea companiilor au fost obligate să redescopere că prevenția este mai ieftină și mai eficientă decât tratamentul.

Ce-i drept, nu toate organizațiile au fost luate prin surprindere de debutul pandemiei. De exemplu, cei de la Deloitte afirmau la începutul lunii martie că majoritatea companiilor mari din România aveau un plan de continuitate a afacerii (Business Continuity Plan – BCP). Analiștii citați se refereau însă la organizațiile mari din industrii puternic reglementate, precum băncile, operatorii telecom sau furnizorii de utilități.

Restul însă...

Potrivit unui studiu realizat tot la începutul anului de Frames, 72% dintre companiile românești nu aveau un plan de continuitate a afacerii.
Doar 11% erau sigure că dețineau așa ceva, însă nici în cazul lor lucrurile nu erau în regulă, pentru că:

  • 89% nu îl testaseră niciodată;
  • 77% nu îl comunicaseră în toată compania;
  • 53% nu incluseseră în BCP scenarii de tipul pandemiei de COVID-19.

Astfel de rezultate confirmă faptul că încă destul de multe companii locale nu sunt convinse de utilitatea unui astfel de plan, deși nu le este străin conceptul. Dar și că, în cazul în care concep unul, o fac doar de formă, fără a-i verifica valabilitatea în practică. De asemenea, atunci când creează un Business Continuity Plan și îl comunică și verifică prin teste, îl confundă adesea cu planul de Disaster Recovery. De aceea, în numeroase cazuri când vine vorba de continuitatea afacerii, responsabilitatea e pasată automat departamentului IT. Pentru a elimina confuzia, inerentă din cauza suprapunerilor ariilor de acoperire, vom detalia subiectul Disaster Recovery într-o postare viitoare.

Planul de continuitate a afacerii reprezintă însă mai mult decât Disaster Recovery Plan, pentru că acoperă o problematică mult mai extinsă și mai diversă.

Conform definiției unanim acceptate, BCP reprezintă o suită de structuri organizatorice, proceduri și instrucțiuni clar definite și special concepute pentru a asigura funcționarea fără întrerupere a serviciilor unei organizații în cazul unui eveniment care amenință întreruperea activității acesteia. Astfel de evenimente pot fi de la calamități naturale (furtuni, inundații, cutremure etc.) la incendii, furturi, atacuri informatice și, nu în ultimul rând, pandemii. Diversitatea situațiilor de risc necesită abordări diferite, care sunt stabilite în urma analizelor detaliate a repercusiunilor pe care fiecare scenariu îl poate avea asupra derulării afacerii.

La nivel general însă, orice plan de continuitate a afacerii trebuie să includă o serie de elemente comune:

  • Lista responsabililor BCP: nume și date de contact ale persoanelor care răspund de crearea, actualizarea, coordonarea și punerea în aplicare a planului;
  • Contactele-cheie și procedurile de alertare/notificare a acestora: o listă care trebuie să conțină datele de contact actualizate ale tuturor persoanelor ce trebuie avertizate asupra unui eveniment cu potențial de risc și instrucțiunile aferente pentru contactarea lor;
  • Rolurile și responsabilitățile repartizate pe echipe: liste nominale care detaliază componența, responsabilitățile, structura și organigrama fiecărei echipe formate pentru a acoperi procesele critice de afaceri;
  • Locațiile off-site adecvate reluării și continuării activității: listă cu adrese, mijloace de acces (eventual și procedurile de verificare a accesului), echipamentele disponibile în respectivele locații, precum și cele care trebuie aduse pentru derularea efectivă a operațiunilor. În cazul pandemiei, de exemplu, relativ puține companii locale erau pregătite pentru telemuncă – majoritatea nu știau atunci când s-a instituit lockdown-ul cine poate lucra de acasă, ce activități puteau fi realizate de la distanță și care nu, de ce soluții și echipamente au nevoie telesalariații etc.;
  • Planul efectiv de reluare a activității: detaliază etapele și procedurile necesare pentru recuperarea și reluarea fiecărui proces critic de business și trebuie să includă instrucțiuni și obiective clar definite pe intervale de timp (prima oră, primele 8 ore, 24 de ore, 48 de ore, o săptămână etc.);
  • Cerințele tehnologice: identifică necesarul hardware și software pentru fiecare unitate de business și fiecare echipă pentru ca acestea să poată realiza reluarea activităților, dar și procedurile de back-up și restaurare, cu obiective specifice;
  • Necesarul de documente critice pentru derularea activității: dacă operați cu documente care nu sunt disponibile în format electronic, trebuie să le identificați pe cele care vă sunt strict necesare, să le scanați, procesați și stocați astfel încât să poată fi accesate de la distanță în condiții de siguranță;
  • Lista și procedurile de avertizare a clienților: include datele de contact ale clienților, metodele și mijloacele prin care aceștia vor fi avertizați asupra întreruperii livrării produselor și/sau serviciilor;
  • Lista furnizorilor principali și a celor de rezervă: conține datele persoanelor de contact ale partenerilor și informațiile necesare din contractele aflate în derulare cu aceștia, precum și informații despre posibili furnizori suplimentari, care pot fi contractați rapid.

Toate acestea sunt componente generice ale unui plan de Business Continuity universal valabil și fiecare dintre ele trebuie detaliată și adaptată specificului companiei voastre. Evident, puteți adăuga orice alt element considerați că vă poate fi util într-o situație; cum ar, fi de exemplu, procedurile de escaladare a unei plângeri venite din partea clienților, metodele de accesare a serviciilor de Help desk sau o listă cu companiile de asigurare cu care lucrați și detaliile contractuale necesare etc.

O dată stabilite aceste elemente, ele trebuie reunite într-un document unic, pe care să-l comunicați persoanelor incluse în BCP și să-l discutați în detaliu cu fiecare responsabil de echipă (pentru ca ei să continue munca de diseminare și instruire pe organigrama specifică). Dacă planul rămâne însă doar la acest stadiu, nu ați realizat mare lucru, pentru că nu puteți să verificați cât de bine sunt integrate și corelate elementele, cât de eficient și-au însușit procedurile persoanele implicate și cât de realiste sunt obiectivele stabilite. Pentru aceasta aveți nevoie de verificări prin teste care să simuleze diferite scenarii, care sunt vitale pentru validarea valabilității planului și îmbunătățirea lui, dar și pentru formarea deprinderilor necesare.

E adevărat că orice test presupune un efort substanțial și generează scăderi de productivitate. Dar pierderile acestea sunt incomparabil mai mici decât pagubele pe care le veți înregistra dacă planul nu funcționează în parametrii așteptați. La fel de adevărat e și fapul că niciun BCP nu poate prevedea toți factorii de risc și măsurile adecvate. Surprize apar inevitabil, dar le puteți limita efectul dăunător printr-o planificare și o pregătire atentă.

Dacă procesul de punere în practică a unui plan de continuitate a afacerii vi se pare prea laborios și nu aveți nici timpul și nici competențele interne necesare pentru a-l realiza, specialiștii PRAS vă stau la dispoziție. Avem experiența necesară pentru a vă ajuta să stabiliți ce este cu adevărat esențial pentru a asigura continuitatea afacerii voastre, să definiți procedurile și structurile organizatorice necesare și să găsiți și implementați soluțiile adecvate obiectivelor și – mai ales – bugetului disponibil.