Antologie BCM Zajištění kontinuity činností v rámci smluv s dodavateli, část VI.

DSM 4/2023 Hits: 344
Antologie BCM Zajištění kontinuity činností v rámci smluv s dodavateli, část VI.

Na co nezapomenout při definici požadavků na externě dodávané služby, výběru dodavatele a jak nastavit jeho řízení z pohledu zajištění kontinuity činností organizace.

zajištění kontinuity                    smlouvy s dodavateli                     BCMS                    ICT

 

Úvod

BCM je proces, který organizace používají k zajištění své schopnosti udržovat klíčové procesy a funkce v provozu v případě neočekávaných přerušení. Jeho hlavním cílem je snížit dopad přerušení činnosti na organizaci, její zaměstnance, zákazníky, dodavatele a další zainteresované strany.

BCM zahrnuje širokou škálu aktivit včetně identifikace rizik, hodnocení dopadů a prioritizace, plánování kontinuity činností, implementace plánů, testování a řízení změn. Klíčovou součástí BCM je vytvoření plánu kontinuity činností obsahujícího kroky, které organizace musí podniknout pro minimalizaci vlivu přerušení činnosti.

V dnešní globalizované ekonomice je řízení kontinuity činností (BCM) nezbytné pro zajištění nejen provozuschopnosti samotné organizace, ale také pro minimalizaci rizik spojených s dodavatelským řetězcem. Řízení kontinuity činností v dodavatelském řetězci (SCBCM – Supplier Chain Business Continuity Management) umožňuje organizacím zajistit, že jejich dodavatelský řetězec zůstane odolný a schopný reagovat na různé druhy výzev, jako jsou např. přírodní katastrofy, globální pandemie, teroristické útoky, politické nestability nebo ekonomické krize.

Tento článek se zabývá koncepty a praktikami řízení kontinuity činností v dodavatelském řetězci. Nejprve se zaměříme na definice a základní prvky BCM včetně jeho cílů, metodik a přístupů. Poté představíme specifické výzvy, které souvisejí s řízením kontinuity činností v rámci dodavatelského řetězce, a popíšeme základní prvky SCBCM včetně identifikace a hodnocení rizik, plánování kontinuity činností, implementace a testování plánů a řízení změn. Nakonec se podíváme na klíčové výhody řízení kontinuity činností v dodavatelském řetězci a ukážeme, jak může organizace využít tuto disciplínu ke zlepšení svého výkonu a konkurenceschopnosti.

Fáze přípravy, tvorby, implementace a revize smluvního vztahu jsou heslovitě pospány v Obr. 1.

Snímek obrazovky 2023 12 30 105250Obr. 1: Fáze přípravy, tvorby, implementace a revize smluvního vztahu

Plánování dodavatelské smlouvy

V rámci plánování je třeba stanovit a jasně definovat, co bude v dodavatelské smlouvě z hlediska účelu její tvorby. Pomůže nám to následně jasně vymezit, jaká rizika se pojí s plněním dané smlouvy, a tedy jaká opatření a kontroly je potřeba zavést na straně objednatele a dodavatele. Identifikace vhodného okruhu dodavatelů nám dává možnost oslovit organizace, které jsme vyhodnotili jako vhodné pro plánovaný smluvní vztah. Stejný postup samozřejmě aplikujeme v případě výběrového řízení s možností přihlášení jakékoli fyzické či právnické osoby. Předem definovaný rozsah požadovaných služeb nebo produktů pomůže při vypisování podmínek výběrového řízení.

Tvorba dodavatelské smlouvy

Na základě již dříve stanovených produktů a služeb je nutno stanovit priority služeb, produktů a jejich vlastností (zejména dostupnosti), které budeme od dodavatele požadovat. Analýza rizik dodavatele, která bude zahrnovat zejména hrozby a zranitelnosti v námi stanovené prioritní oblasti, vytváří další způsob hodnocení budoucího dodavatele z hlediska jeho spolehlivosti. Na tento krok navazuje logicky také úvaha, jaká opatření je na naší či dodavatelské straně potřeba aplikovat k pokrytí identifikovaných rizik. Tato opatření mohou hrát nemalou roli v dalších nákladech na zajištění bezpečnosti budoucího smluvního vztahu a jsou to nepřímé náklady, které ovšem musíme brát v úvahu, abychom byli schopni posoudit komplexní finanční náročnost budoucího vztahu.

Také negativní publicita se vztahem k minulosti některých z uchazečů může hrát roli v jejich hodnocení (např. výpadky takového rozsahu, který byl popisován médii, tedy s nemalým dopadem na koncové zákazníky či jiné zainteresované strany). Přesná definice rozsahu v průběhu počáteční fáze navazování kontaktů mezi objednatelem a dodavatelem může následně pomoci identifikovat zejména dodavateli rozsah požadovaných služeb a jejich vlastnosti (požadavky na kvalitu, dostupnost, podporu, školení atp.). Je potřeba stanovit, jaké jsou očekávané a požadované vlastnosti produktů a služeb, které jsou součástí plnění smluvního závazku, aby se zabránilo pozdějším konfliktům ve vnímání požadavků ze strany objednatele a nabídky dodavatele. Pro úspěšný a řiditelný způsob předávání informací je potřeba stanovit organizační náležitosti smluvního vztahu, a to zejména kdo, koho, kdy a jak kontaktuje v rámci provozních záležitostí, monitoringu, provozních a bezpečnostních incidentů apod. Dále je potřeba stanovit pravomoci a odpovědnosti pro standardní režim a také pro výjimečné stavy, jako jsou provozní a bezpečnostní události a incidenty. Klasifikování událostí a incidentů je vhodným nástrojem pro stanovení odlišných reakčních dob na události odstupňované na základě jejich odhadovaného dopadu na straně objednavatele. Eskalační postupy jsou nedílnou součástí takto nastavených komunikačních pravidel. Na straně odběratele bude potřeba identifikovat potřeby na zaškolení nejen standardních uživatelů, ale také správců, bezpečnostních správců, popř. dalších uživatelských rolí s privilegovanými oprávněními. Nejen stanovení strukturovaných a dokumentovaných postupů řešení neočekávaných událostí, ale také pravidelné testování zvládání takovýchto neočekávaných událostí je potřeba zakotvit do smluvního vztahu. Je zde také potřeba popsat, jak řešit případné nálezy či neshody odhalené v rámci testování.

Implementace smlouvy

V tomto kroku se stanovují zásady pro udržitelný dodavatelsko-odběratelský vztah. Takový vztah zahrnuje řadu zásad a praktik, které pomáhají zajistit, že vztah mezi dodavatelem a odběratelem bude dlouhodobě udržitelný a prospěšný pro obě strany. Co je v těchto zásadách zahrnuto?

Důvěra a transparentnost: Odběratelé a dodavatelé by měli budovat důvěru a transparentnost ve svém vztahu. To zahrnuje poskytování jasných informací o cenách, podmínkách a kvalitě produktů a služeb.

Vzájemný respekt: Dodavatelé a odběratelé by měli respektovat své vzájemné potřeby a cíle a pracovat společně na dosažení společného úspěchu.

Společná odpovědnost: Odběratelé a dodavatelé by měli nést společnou odpovědnost za udržitelnost svých vztahů. To zahrnuje dodržování etických standardů, environmentálních zásad a sociální odpovědnosti.

Vzájemná spolupráce: Odběratelé a dodavatelé by měli spolupracovat na vývoji a inovaci produktů a služeb, aby mohli nabídnout nejlepší možnou hodnotu pro své zákazníky.

Dlouhodobá strategie: Odběratelé a dodavatelé by měli mít dlouhodobou strategii pro udržitelný dodavatelsko-odběratelský vztah. To zahrnuje plánování a přizpůsobení se změnám v obchodním prostředí a vzájemnou podporu pro dosažení cílů.

Spravedlivé zacházení: Odběratelé by měli dodavatelům poskytovat spravedlivé a přiměřené platby za jejich služby a výrobky, aby mohli udržet kvalitní a udržitelný vztah.

Tyto zásady mohou pomoci zajistit, že dodavatelsko-odběratelský vztah bude udržitelný, efektivní a vzájemně prospěšný pro obě strany.

Revize

Revize smluvního vztahu může být nezbytná z několika důvodů, jako jsou změny v obchodních podmínkách, narůstající náklady na výrobu nebo dodání produktů, změny na straně dodavatele nebo odběratele atd. Zde je několik zásad pro revizi dodavatelsko-odběratelského vztahu:

Zvažte své cíle a priority: Před zahájením jakékoli revize si musíte být jisti, že máte jasno ve svých cílech a prioritách. Jaké změny by měly být provedeny? Jaké jsou vaše požadavky? Zvažte všechny tyto faktory před tím, než začnete jednat.

Zohledněte názory obou stran: Revize dodavatelsko-odběratelského vztahu by měla být dvoustranná. Zvažte názory obou stran a snažte se najít řešení, které vyhovuje oběma.

Dbejte na vzájemnou důvěru: Je klíčová pro úspěšné fungování dodavatelsko-odběratelského vztahu. Pokud se jedná o revizi, může být užitečné otevřeně diskutovat o problémech a hledat řešení, která budou pro obě strany uspokojivá.

Stanovte jasné obchodní podmínky: Je důležité, aby byly obchodní podmínky stanoveny jasně a srozumitelně. To pomůže minimalizovat nedorozumění a konflikty v budoucnu.

Zohledněte možnosti automatizace: Dnešní technologie mohou usnadnit a zjednodušit mnoho procesů, které jsou součástí dodavatelsko-odběratelského vztahu. Zvažte, zda je vhodné zautomatizovat některé části vašeho procesu.

Sledujte výkon: Revize dodavatelsko-odběratelského vztahu by měla také zahrnovat sledování výkonu. Pravidelné vyhodnocování výkonnosti může pomoci identifikovat oblasti, které vyžadují pozornost, a zajistit, aby vztah byl co nejefektivnější.

Zkusme se nyní podívat ne proces zajištění kontinuity dodavatelsko- odběratelského vztahu z pohledu významného dodavatele. Pojem významný dodavatel je definován zákonem č. 181/2014 Sb. (dále jen „ZKB“), ve znění pozdějších předpisů, o kybernetické bezpečnosti, a zejména vyhlášky č. 82/2018 Sb., vyhláška o bezpečnostních opatřeních, kybernetických bezpečnostních incidentech, reaktivních opatřeních, náležitostech podání v oblasti kybernetické bezpečnosti a likvidaci dat (vyhláška o kybernetické bezpečnosti, dále jen „VKB“), kde je v § 2 písm. n) uvedeno: „Významným dodavatelem je provozovatel informačního nebo komunikačního systému (dále jen „provozovatel“) a každý, kdo s povinnou osobou vstupuje do právního vztahu, který je významný z hlediska bezpečnosti informačního a komunikačního systému.“

V kontextu níže popsaného příkladu se sice zabýváme celou bezpečností informací, tedy ochranou důvěrnosti, integrity a dostupnosti, nicméně dopad bezpečnostního incidentu má většinou za následek nedostupnost systému, dat a následně i procesu nebo činnosti. Ačkoli řešíme všechny aspekty bezpečnosti informací, ve většině případů se dopad incidentu promítne zpět do dostupnosti, což nás vrací opět k procesu řízení kontinuity činností.

Rozšiřme si pole působnosti z ICT prostředí a schopnost „významného dodavatele“ významně ovlivnit schopnost dosahovat obchodních cílů či zákonných povinností. Takto lze definovat i dodavatele pro organizaci, která není povinnou osobou dle ZKB. Představme si pekárnu, která zatím pod ZKB nespadá, nicméně je schopna si tímto způsobem identifikovat dodavatele, který např. zajišťuje přísun surovin (koření, mouka, voda, elektrická energie apod.).

Pokud jsme v pozici takového dodavatele nehledě na to, zda spadáme pod ZKB či nikoli, bude potřeba pro hladký průběh plnění smlouvy a odběratelsko-dodavatelského vztahu zajistit identifikaci a následné řízení všech aktiv (čehokoli, co má pro nás hodnotu v kontextu plnění smlouvy) v rozsahu plnění smlouvy.

Pokud tedy zůstaneme v oblasti potravinářské výroby, konkrétně v „naší“ pekárně a v pozici dodavatele mouky, bude potřeba identifikovat:

  1. Rozsah smlouvy, tedy co, v jakém množství a jak dodáváme, včetně všech zasmluvněných parametrů dodávky. V našem případě tedy kolik jaké mouky a jakým způsobem dopravujeme. Jde o informace, které potřebujeme zajistit z pohledu dostupnosti, tedy aby byly k dispozici v době, kdy je potřebujeme, a z pohledu integrity, tedy abychom měli správné informace ze smlouvy.
  2. Rozsah aktiv (prostředků), které do plnění smlouvy potřebujeme zahrnout.
    1. Začínáme informacemi, tedy samotnou smlouvou a jejím zněním.
    2. Následují lidé, kteří zprostředkovávají komunikaci s odběratelem, objednávání sortimentu a samozřejmě následně i fakturaci.
    3. Dalším aspektem v rozsahu prostředků pro zajištění plnění smlouvy budou nějaké ICT prostředky, ve kterých budeme zpracovávat požadavky klienta, naše objednávky k našim dodavatelům, ekonomickou agendu firmy a další činnosti a procesy spojené s fungováním firmy. Nicméně zde bychom neměli zapomínat pořád mít na zřeteli, které ICT prostředky potřebujeme k plnění konkrétní smlouvy. Docházkový systém asi nebude až tak důležitý, o objednávkovém systému, kde zajišťujeme např. nákup mouky, to samé platit nebude. ICT prostředky také potřebují nějakou infrastrukturu, na které fungují a kterou nám může zajišťovat náš dodavatel. Zde nesmíme opomenout dát do smlouvy s poskytovatelem služeb IaaS (Infrastructure as a Service) pro naše ICT prostředky požadavek na dostupnost, abychom si zajistili proces řízení kontinuity činností i na straně našich dodavatelů. Nezapomínejme na to, že funguje domino efekt, který se může z prostředí našich dodavatelů přes nás projevit až u našich odběratelů.
    4. Lokalitu nebo budovu bude potřeba také identifikovat, abychom zajistili plnění smlouvy s našimi odběrateli. Ochrana těchto lokalit nebo budov by měla být vzata v úvahu v rozsahu potřeby k zajištění plnění smlouvy s pekárnou. Pokud tedy skladovací prostory s moukou budou náchylné na úroveň vlhkosti, bude potřeba vlhkost v těchto prostorech monitorovat a adekvátně reagovat v případech výkyvu očekávaných hodnot vlhkosti či jiných důležitých parametrů.
    5. Dodavatelé na naší straně mohou, jak již bylo zmíněno, také negativně působit na naši schopnost dostát smluvním závazkům. Tedy identifikovat ty dodavatele, kteří jsou ve stejné pozici jako my a mohou negativně ovlivnit svou nedostupností schopnost plnit naše smluvní závazky vůči našim odběratelům.
  3. Řízení identifikovaných aktiv je nedílnou součástí zajištění schopnosti efektivně zajišťovat smluvní povinnosti vůči našim odběratelům. O informace se staráme z pohledu jejich ochrany, tady přichází na řadu bezpečnost informací, tedy ochrana informací z pohledu důvěrnosti, integrity a dostupnosti. O nejcennější aktivum, tedy lidi, se musíme starat obzvláště pečlivě, protože podle dostupných průzkumů je to z 80 % lidský faktor způsobující neočekávané události a incidenty v organizacích. Jak toto zapadá do našeho kontextu? Dojde k situaci, že v rámci dodávky mouky do pekárny se na cestě porouchalo vozidlo. To se samozřejmě stát může, nicméně zpětně bylo zjištěno, že vozidlo mělo již před 14 dny absolvovat garanční prohlídku, kterou správce vozového parku opomenul. Dá se tedy opodstatněně předpokládat, že se této situaci, kdy se porouchalo vozidlo a nedodalo náklad mouky, dalo předejít.

    U ICT prostředků je to pak znalost provázání důležitých dat a informací pro plnění smlouvy (citace smlouvy, objednávky pekárny, dodací listy pekárně, faktury s pekárnou, bankovní výpisy apod.) na ICT prostředí. Tedy kde se nacházejí data a informace důležité pro plnění smlouvy s pekárnou. Jednotlivé části ICT prostředí mají své hrozby a zranitelnosti, které je potřeba řádně řídit, a předcházet tak neočekávaným událostem a incidentům. Lokality a budovy mají pochopitelně také své hrozby (např. požár, povodeň, výpadek elektrické energie, výskyt hlodavců a hmyzu ohrožující skladovanou mouku, pokud chceme být trochu konkrétnější k našemu kontextu), které je potřeba identifikovat, ohodnotit a odpovídajícím způsobem řídit. Pokud jsem v budově nebo v lokalitě v nájmu, pak zajištění ochrany proti identifikovaným hrozbám musí být uvedeno ve smlouvě s poskytovatelem lokality či budovy. Identifikované hrozby u dodavatelů, jako může být obecně jeho krátkodobá nedostupnost způsobená např. realizací operačního rizika či dlouhodobá nedostupnost jako důsledek zániku společnosti, musejí být pochopitelně také náležitě ošetřeny, aby bylo zabráněno domino efektu a ovlivněna schopnost plnění našich závazků vůči našim odběratelům.

  4. Zajištění kontinuity činností je proces, který nám může pomoci nastavit náhradní procesy a činnosti ke snížení negativního dopadu v případě nedostupnosti klíčových procesů nebo činností organizace. Které to jsou ty klíčové činnosti či procesy? Ty nám identifikuje analýza dopadů, která objektivně stanovuje citlivost procesů a dopad jejich nedostupnosti na organizaci. Celý díl týkající se Analýzy dopadů je v čísle 4/21 časopisu DSM (viz Tab. 1).

    Snímek obrazovky 2023 12 30 111119Tab. 1: Grafické znázornění požadavků na dostupnost procesů P1 až P4

    Na tabulce jednoduše vidíme graficky znázorněný požadavek na dostupnost ve třístupňové škále, která formou a významem barev semaforu identifikuje požadavky na dostupnost procesů P1-P4. Nejcitlivější jsou tedy procesy P2 a P3, které mají hranici akceptovatelné nedostupnosti na úrovni dvou hodin. V řeči řízení kontinuity činností to znamená, že procesy P2 a P3 po uplynutí dvou hodin začínají generovat neakceptovatelné dopady do naší organizace. Druhým v pořadí je proces P3 a nejméně citlivý na dostupnost je proces P1. Na snížení negativního dopadu v případě nedostupnosti jednotlivých procesů je potřeba vytvořit plány kontinuity, plány obnovy pro technologie, havarijní plány pro lokality nebo budovy. Jak jsme se z procesů dostali na technologie a budovy? V bodě 3 je uvedena nutnost provázání dat a informací, na kterých (ICT prostředky) nebo ve kterých (lokality, budovy) jsou zpracovávány. Provázání se týká pochopitelně také lidí a našich dodavatelů. Zde je logické, že požadavky na dostupnost, které jsme identifikovali u našich klíčových procesů P2 a P3, musíme promítnout také na všechna ostatní aktiva, která podporují generování očekávaných výstupů zmíněných procesů P2 a P3. Konkrétně tedy všechna data, která jsou zpracovávána v ICT prostředcích. Data, lidé a ICT prostředky jsou umístěny na konkrétních lokalitách a v budovách a je možné, že na jejich zpracování, zajištění či údržbě se podílejí také naši dodavatelé. Všechna uvedená aktiva, musejí mít stejné požadavky na dostupnost jako procesy P2 a P3, takže do dvou hodin.

  5. Řízení událostí a incidentů zahrnuje procesy, činnosti a kontakty využívané v době, kdy dojde k události, která má nebo může mít negativní dopad na naše odběratele. Je nutno stanovit:
    Co považujeme za událost, nebo incident.
    1. Koho je potřeba informovat, jaké informace, jakým způsobem a v jaké struktuře předat.
    2. Jaké aktivity je potřeba bezodkladně vykonat.
    3. Jak dále postupovat v rámci komunikace průběhu události či incidentu.
    4. Jak nahlásit ukončení incidentu, jakým způsobem a v jaké struktuře předat informace o dopadech.
    5. Jak implementovat opatření pro opakování situace.
    6. Jak ověřit účinnost opatření.

Není „toho“ málo, nicméně musíme vzít v úvahu, že dlouho budovaná důvěra může být významně narušena, nebo dokonce ztracena v případě, že nejsme schopni odpovídajícím způsobem řídit obchodní vztah a naplňovat oprávněná a zasmluvněná očekávání našich obchodních partnerů. Je tedy potřeba si definovat:

    • Rozsah smlouvy
    • Aktiva podílející se na plnění smlouvy
    • Řízení a ochrana identifikovaných aktiv
    • Zajištění identifikace a dostupnosti klíčových aktiv
    • Efektivní řízení neočekávaných událostí a incidentů

      Tato očekávání platí pro jakoukoli organizaci nehledě na to, zda je výrobní, poskytuje služby či je zřízená státem. Každá organizace má své vnější a vnitřní vlivy, očekávání zainteresovaných stran a očekávané výstupy – kontext.

Snímek obrazovky 2023 12 30 111135

Snímek obrazovky 2023 12 30 111352This email address is being protected from spambots. You need JavaScript enabled to view it.

Print