Různá témata, různé příběhy a různé zkušenosti spojené jednou ústřední myšlenkou – zajistit existenci společnosti či organizace a kontinuitu jejích obchodních či zákonem stanovených činností.
kontinuita Business Impact Analysis analýza dopadů know-how
část III.
Plány kontinuity
Mnohdy nedoceňované, vnímané jako zbytečná přítěž, ale dokážou zachránit milióny. Když selžou opatření činící organizaci odolnější a dojde k přerušení její činnosti, čas hraje významnou roli při minimalizaci ztrát, tehdy přijde jejich čas.
Vskutku je to tak, většina společností a organizací, které dokud nezasáhla nežádoucí událost, vnímá plány kontinuity jako zbytečné a vedení je většinou přesvědčeno, že manažeři a odborníci, které zaměstnává, vždy něco vymyslí a nějak obnovu činností nebo technologie zvládnou.
Ano, zvládnou… Ale za jakou cenu?
Skutečná „cena“ zvládnutí výpadku nezahrnuje pouze nákup technologií či služeb potřebných na obnovu a čas pracovníků, kteří se obnově věnují. K tomu všemu musíme ještě připočítat ztrátu za čas, než se obchodní činnosti podařilo obnovit, ztrátu z prostoje zaměstnanců, kterým musíme dát plat, i když nemohli pracovat, penále a pokuty plynoucí z nedodržení smluvních ujednání nebo porušení legislativních povinností. Přesnou hodnotu všech relevantních dopadů zjistíme pomocí analýzy dopadů (BIA), kterou si můžete připomenout v předchozí části antologie BCM [1] nebo v článku Kamila Rečičára ze seriálu Jak na rizika [2] otištěné v časopisu DSM a také v mezinárodním standardu ISO/TS 22317. [3]
O čem že to vlastně plány kontinuity jsou?
Hned z počátku bych rád ukázal jiný pohled na plány kontinuity, který vás možná ještě nenapadl. Většina z nás ví a mnozí tuší, že plány kontinuity jsou praktickými postupy pro realizaci činností a aplikaci opatření vedoucích k obnově narušených důležitých obchodních činností a technologií, které tyto činnosti podporují. To je samozřejmě pravda, ale není to vše. Dobré plány kontinuity jsou také o správných prioritách obnovy, plánování zdrojů a jejich efektivním využití v krizových situacích, kdy špatné rozhodnutí nebo zbytečné zpoždění či nesprávné priority mohou znamenat ztrátu dalších miliónů. Ano, právě čas a správné priority vedou k minimalizaci dopadů s minimálními výdaji. Ty opravdu dobré plány kontinuity čerpají z analýzy dopadů. Kolik času na obnovu daných obchodních činností máme a které jsou z nich prioritní, opět určuje analýza dopadů [1,2,3]. Kromě toho dobré plány kontinuity jsou vzájemně časově sladěné. To znamená, že ICT služby, budovy a činnosti, na kterých jsou závislé výstupy kritických obchodních činností, jsou obnoveny přesně v čase, kdy budou potřeba. Jde o provázaný a propracovaný systém, a proto jsou plány kontinuity součástí řízení kontinuity činností společnosti či organizace označované jako BCMS (Business Continuity Management System), o kterém jsme se již zmínili v prvním dílu antologie BCM. [4]
Kde je místo a co je cílem plánů kontinuity?
Když nastane incident, který způsobí narušení obchodních činností (business procesů), obvykle následují fáze znázorněné na Obr 1. Vysvětlení jednotlivých zkratek a pojmů jsme se věnovali v předchozí části antologie [1], proto ve „Slovníčku BCM“ uvádím pouze jejich stručný význam.
Bezprostředně po incidentu nastává identifikace nežádoucí události, vyhodnocení jejího působení, posouzení dopadů s kritérii pro detekci krizového stavu a aktivace krizového řízení. Vedoucí krizového týmu, případně jeho členové dají příkaz k aktivaci zahájení obnovy konkrétních obchodních činností nebo technologií. Vedoucí pracovníci dotčených organizačních jednotek pak vydají pokyn k zahájení činností dle předem připravených plánů kontinuity. Jak je z Obr. 1 patrné, účelem těchto aktivit je obnovit obchodní činnosti alespoň na úroveň nouzového provozu do doby RTO.
Obr. 1: Místo a působnost plánů kontinuityCílem plánů kontinuity je obnovit obchodní činnosti a s nimi související technologie dříve, než by nastaly nežádoucí ztráty. Tato doba je dána parametrem RTO, který pro jednotlivé obchodní činnosti vyhodnocuje BIA.
Musíme si uvědomit, že v případě narušení obchodních činností ztráty narůstají s různou progresí po celou dobu výpadku. Jak je vidět na Obr. 2, tato progrese je pro jednotlivé obchodní činnosti rozdílná. Pokud např. nastane výpadek v technologicky orientované společnosti nebo organizaci, ztráty z výpadku podpory provozu ICT se začnou projevovat v relativně krátkém čase, jelikož výpadek IS, který nikdo neřeší, bude mít za následek narušení i dalších činností závislých na ICT službách. Na druhou stranu ztráty způsobené výpadkem procesu Marketing se obvykle projeví až po několika měsících. Kampaně se obvykle připravují dopředu, zákazníci produkty znají a bez nových reklam je nepřestanou okamžitě kupovat. Důležitým bodem je, kdy ztráty přestanou být zanedbatelné a dosáhnou úrovně nežádoucí.
Tento bod v čase je označován jako RTO (Recovery Time Objective). Jak můžete vidět na Obr. 2, pro každou obchodní činnost je různý, zrovna tak je různý pro jednotlivé ICT služby dle toho, jaké obchodní činnosti podporují. Pro úplnost je na obrázku znázorněna i úroveň Risk Appetite [5], aby byl patrný rozdíl mezi zanedbatelnými, nežádoucími, akceptovatelnými a neakceptovatelnými ztrátami, jak je naznačeno v pravé části obrázku. Pro plány kontinuity je důležitý parametr RTO a postupy v nich uvedené by měly zajistit dosažení alespoň částečného obnovení činností do doby stanovené tímto parametrem.
Obr. 2 Závislost ztrát v čase a kritéria určení RTO
Struktura plánů kontinuity
Plány kontinuity je vhodné rozdělit podle toho, pro co jsou určeny, a pro každý typ plánu je dobré vytvořit závaznou šablonu. Plány obnovy se minimálně rozdělují na plány obnovy obchodních činností (BCP – Business Continuity Plan) a plány obnovy IT technologií (DRP – Disaster Recovery Plan). Pokud společnost či organizace využívá cloudové či jiné služby typu SaaS, PaaS, DaaS (Software, Platform, Datacenter as a Service) nebo jakýkoli jiný outsourcing (např. zpracování účetnictví), je velmi dobré strukturu plánů kontinuity rozšířit o tzv. bezbolestnou exit strategii. Provozuje-li společnost nebo organizace obchodní činnosti ve vlastních budovách, je vhodné strukturu doplnit o havarijní plány k obnově budov a základní infrastruktury (HP). V případě velkých organizací s rozvinutou strukturou je vhodné formalizovat postupy krizového řízení formou plánu krizové připravenosti (PKP). Struktura plánů kontinuity pak může vypadat následovně:
- Plány kontinuity obchodních činností (BCP)
- Plány obnovy ICT (DRP)
- Exit strategie
- Havarijní plány (HP)
- Plán krizové připravenosti (PKP)
Určení jednotlivých plánů kontinuity v této struktuře je následující:
Plány kontinuity obchodních činností (BCP). Obnova obchodních činností (zajištění funkčnosti procesu). Vytváří se pro konkrétní proces. Pravidla a postupy, jak bude zajišťována poskytovaná služba bez ICT technologií, bez lokality nebo za stavu pandemie apod.
Plány obnovy ICT (DRP). Obnova technologií potřebných k zajištění obchodních činností. Vytváří se pro určitou technologii nebo ICT službu (např. CRM, Mail, e-shop, …). Zahrnuje postupy pro použití záložního nebo nákup nového zařízení, instalaci HW/SW, obnovu dat, kontrolu integrity a funkčnosti.
Exit strategie. Postupy pro „bezbolestnou“ změnu poskytovatele outsourcingu, tzn. postupů, které umožní bezproblémový přechod k jinému poskytovateli (předání dat bez neúměrných poplatků, předání informací nezbytných k zajištění kontinuity outsourcovaných služeb atd.). Vytváří se pro jednotlivé outsourcované činnosti, případně pro jednotlivé dodavatele. Zahrnuje zejména postupy a formáty pro předání dat, správy IS v outsourcingu a všech potřebných informací nutných pro pokračování outsourcingu u jiného dodavatele (nastavení IS, propracované aktivity, stav účetnictví).
Havarijní plány (HP). Postupy pro stabilizaci a zajištění obnovy budov a základní infrastruktury. Vytváří se pro jednotlivé budovy nebo lokality. Zahrnují postupy pro zajištění bezpečnosti narušených budov nebo obnovu základní infrastruktury (obnova elektrické energie, dodávky vody, funkčnost klimatizace, telekomunikací a připojení do internetu).
Plán krizové připravenosti (PKP). Eskalační schéma a kontaktní matice. Jeden pro celou společnost či organizaci. Kritéria pro identifikaci krizové situace a postupy pro aktivaci krizového štábu, informace o primárním a záložním umístění krizového štábu, pravidla pro zahájení komunikace.
Pravidla tvorby plánů kontinuity
Před přípravou plánů kontinuity je dobré si kromě stanovení jejich struktury a určení jednotlivých plánů kontinuity také uvědomit, pro které obchodní činnosti a podpůrné technologie je vhodné plány připravit a které „katastrofické“ scénáře by měly pokrývat. Jinými slovy pro co plány vytvořit a na co se připravit.
Při stanovení pravidel pro tvorbu plánů kontinuity je dobré nemít příliš velké ambice. Stanovíte-li, že pro každý důležitý proces musí být BCP a pro každý významný IS musí být DRP, desítky plánů kontinuity nikdo nevyrobí anebo budou v nepoužitelné kvalitě a toto množství nikdo nezvládne otestovat. Hromada plánů bude nepřehledná a jako systém obtížně řiditelná. Osobně doporučuji udělat plánů méně, zato v dostatečné kvalitě, a hlavně pro opravdu důležité obchodní činnosti a technologie, bez kterých se neobejdete. Většinou zavádím dva termíny:
- Klíčové obchodní činnosti (procesy) jsou ty, které pocitově mohou způsobit nežádoucí až likvidační dopady.
- Kritické obchodní činnosti (procesy) jsou ty, které podle stanovených kritérií překračují maximální akceptovatelnou úroveň rizik (risk appetite).
Určení klíčových činností pomocí expertního hodnocení a kritických činností provádíme v rámci analýzy dopadů (BIA). [1] Pro tvorbu BCP pak stanovuji pravidlo, že BCP jsou povinné pro všechny kritické obchodní činnosti a že je možné je na základě přání garanta připravit i pro klíčové obchodní činnosti. Tím značně zredukujete počet BCP (což je velmi důležité zvláště při zavádění BCM) a současně tento postoj opřete o jasnou metodiku, metriku hodnocení a exaktní výsledky BIA.
Pravidlo pro tvorbu DRP a dalších plánů pak je, že jsou povinné pro všechny ICT služby, lokality a další podpůrná aktiva, která jsou nezbytná k zajištění kontinuity kritických obchodních činností. Všimněte si v předchozí větě velmi důležitého slova nezbytná. Vytvářet DRP pro všechny ICT služby používané kritickým procesem, jako je třeba docházka nebo objednávání obědů, nedává žádný smysl.
Ještě musím podotknout, že dostatečná kvalita plánů kontinuity nespočívá v detailním popisu celé obnovy. Ve velkém počtu stran nikdo rychle nenajde to, co právě potřebuje. Musejí ale obsahovat vše podstatné a být přehledné.
Dobré plány kontinuity nemají popisovat, jak se obnova provádí, ale jsou spíše stručným seznamem či kostrou, podle které se obnova provádí. Detailní postupy obnovy technologií nebo obchodních činností musejí znát a ovládat odborní pracovníci, kteří se o dané oblasti v rámci pracovních povinností starají (v krizové situaci není čas na studování postupů).
Z vlastní praxe mohu doporučit tvorbu plánů kontinuity navázat na tzv. dopadové scénáře, které lze identifikovat v průběhu BIA nebo v rámci sběru vstupů pro přípravu plánů kontinuity. V principu jde o to, že se identifikují scénáře, které mohou způsobit narušení nebo výpadek dostupnosti obchodních činností. Plány kontinuity pak reflektují tyto scénáře a reagují na ně patřičnými postupy. Pro zajištění dostupnosti obchodních činností společnosti nebo organizaci obvykle postačí pokrýt tyto dopadové scénáře:
- ztráta budovy nebo základních služeb,
- pandemie nebo nedostupnost klíčových osob,
- nedostupnost informačních systémů nebo ICT služeb,
- výpadek klíčového dodavatele.
Při definici „Dopadových scénářů“ si dejme pozor, abychom je nezaměňovali s „Dopady“. Dopadové scénáře popisují, co organizaci může způsobit výpadek činností (procesů). Dopady popisují, jaké budou následky, když vypadnou produkty nebo služby organizací poskytované.
Pro různé obchodní činnosti mohou být relevantní pouze některé dopadové scénáře. Scénáře je však vhodné stanovit jednotně pro celou společnost či organizaci. Z pohledu řízení rizik bychom mohli dopadové scénáře přirovnat k registru hrozeb BCM. Jednotlivé BCP by pak měly obsahovat jednoznačnou vazbu na relevantní dopadové scénáře.
Pro každý dopadový scénář je vhodné stanovit jednotnou strategii obnovy, kterou odborní pracovníci rozpracují do postupů obnovy konkrétní obchodní činnosti. Tímto je zajištěna i vazba mezi vůlí vedení, které stanovením strategie určí, jak se k řešení jednotlivých scénářů společnost či organizace postaví, a jejím naplněním v praktických postupech v rámci obnovy. Správně stanovená strategie je stručná a udává pouze směr, proto by měla být stanovena formou jedné stručné věty.
Za tvorbu plánů by měli odpovídat ředitelé organizačních jednotek, pod jejichž kompetenci kritické obchodní procesy nebo zjištění provozu ICT spadají, ideálně CEO- 1 (ředitelé úseků a divizí). Pro samotnou tvorbu plánů kontinuity se mi vyplatilo zavést institut „Koordinátora BCM“, který zajišťuje vše potřebné pro BCM u dané organizační jednotky včetně spolupráce na BIA, tvorby a testování plánů kontinuity.
Principy tvorby plánů kontinuity
Pro zachování funkčnosti, snadné čitelnosti a interoperability je nutné, aby veškeré plány kontinuity daného typu byly tvořeny shodnou koncepcí a ve shodné struktuře.
Abyste vytvořili dobré plány kontinuity, je třeba při jejich tvorbě dodržovat následující principy:
- Princip snadné orientace. Při tvorbě plánů je důležité zachovávat strukturu plánů včetně všech kapitol a částí plánu. Pokud se nějaká část plánu dané organizační jednotky nebo ICT služby nedotýká, označí se příslušná část plánu jako „není relevantní“ nebo N/A (neaplikovatelné).
- Princip rychlé čitelnosti. Informace a postupy uvedené v plánech musejí být v krizových situacích rychle snadno čitelné, to znamená stručné, ale přitom výstižné. K tomu je nutné uzpůsobit míru detailu a vhodné formátování textu.
- Princip jednoznačnosti. Informace a postupy uvedené v plánech musejí být psány jednoznačně, aby nebyl možný jiný (nesprávný) výklad textu.
- Princip funkčnosti. Plány kontinuity musejí zohledňovat relevantní výstupy analýzy dopadů (BIA) pro danou oblast. Postupy uvedené v plánech musejí zejména zajistit dosažení parametrů RTO a RPO.
- Princip aktuálnosti. Plány musejí být vždy aktuální – aktualizace se provádí bezprostředně po každé významné změně a správnost informací se kontroluje v rámci pravidelné revize a v rámci testování plánů kontinuity.
Nezapomeňte, že plány kontinuity musejí být také dostupné. Plány na sdíleném disku, který není dostupný nikomu, nepomohou. Varianty, jak zajistit dostupnost plánů kontinuity, jsou různé: vytištěná verze, uložení elektronické verze na dvou různých místech (interní sdílený disk + cloud). Provedení závisí na možnostech a přístupu společnosti či organizace. Při použití více úložišť nebo tištěné verze vždy zajistěte synchronizaci všech plánů s jejich poslední aktualizací.
Posledním principem bych tento článek zakončil s tím, že o testování plánů kontinuity si povíme v některém z dalších článků BCM antologie.
Tato e-mailová adresa je chráněna před spamboty. Pro její zobrazení musíte mít povolen Javascript. 
Použité zdroje:
[ 1 ] MICHÁLEK, Richard, Antologie BCM: část II., Analýza dopadů – BIA, časopis DSM 4/2021
[ 2 ] REČIČÁR, Kamil, Seriál: Jak na rizika: část II., Analýza dopadů, časopis DSM 2/2018
[ 3 ] ISO/TS 22317:2021 „Security and resilience – Business continuity management systems – Guidelines for business impact analysis“ (https://www.iso.org/standard/79000.html)
[ 4 ] REČIČÁR, Kamil, Antologie BCM: část I., Řízení kontinuity činností s důrazem na zachování dostupnosti know-how, časopis DSM 3/2021 [ 5 ] MICHÁLEK, Richard, Seriál: Jak na rizika: část I., Řízení rizik neunikneme, časopis DSM 1/2018
