Blog

Photo: busyPrinting/Flickr

Opracowanie Planu Ciągłości Działania znacząco zwiększa szanse organizacji na przetrwanie zdarzeń katastroficznych. Dobrze zbudowany Plan—bazujący na procesach biznesowych, uwzględniający analizę ryzyka, zgodny z polityką i strategią zachowania ciągłości działania—jest solidną podstawą odporności organizacji. Jednak dopiero systematyczne, zorganizowane testowanie Planu umacnia tę zdolność organizacji.

 

 

 

Po co testujemy?

Przeciwnicy twierdzą, że testowanie Planów jest kosztowne i czasochłonne, a przede wszystkim zbędne, ponieważ dopiero realny kryzys weryfikuje kompletność i przydatność Planu. Wprawdzie nie jest możliwe osiągnięcie stuprocentowej pewności, że nasz Plan zadziała w starciu z realnym zdarzeniem, nie przekreśla to jednak celowości weryfikacji całego systemu zarządzania ciągłością działania. Pomyślmy o kole zapasowym w naszym samochodzie. W pewnym sensie jest to rozwiązanie typu business continuity. Jeśli mamy w planach spotkanie z klientem (cel) i w trakcie jazdy samochodem (proces biznesowy) przebijemy koło (incydent), powinniśmy się zatrzymać i wymienić je na zapasowe (rozwiązanie backupowe). W teorii jest bardzo proste, tylko kto z nas sprawdza regularnie ciśnienie w kole zapasowym? Czy kupując nowe auto sprawdzamy, czy podnośnik działa i czy jesteśmy w stanie odkręcić śruby?

Testowanie Planu pokazuje praktyczną zdolność organizacji do kontynuacji i odtworzenia krytycznych procesów biznesowych. Jest przy tym doskonałą okazją do weryfikacji i doskonalenia całego systemu zarządzania ciągłością działania. Niejednokrotnie dopiero w trakcie testu, kiedy następują prawdziwe interakcje między zespołami kryzysowymi, ujawniane są ukryte braki lub możliwości optymalizacji procedur—zdarza się na przykład, że jeden z zespołów nie może zrealizować swoich zadań, ponieważ w składzie innego zespołu kryzysowego nie ma osób odpowiedzialnych za dostarczenie istotnych informacji. Testy angażują większą liczbę uczestników, są zauważalnym wydarzeniem, dzięki czemu podnoszą świadomość istnienia programu BCM. I w końcu: są niezbędne, jeśli organizacja zamierza certyfikować System BCM (wymaga tego norma BS 25999:1 w punktach 9.2, 9.3 i 10).

Jak testujemy?

Pewne wskazówki dotyczące testowania zawarte są w samej normie BS 25999. W zeszłym roku British Standards Institution opublikowała rozszerzone rekomendacje w postaci tzw. Published Document 25666. Dokument ten opisuje kontekst całego programu testów, włącznie z ustanowieniem jego celów, założeń, oczekiwanych wyników i kryteriów oceny, a także przygotowaniem uzasadnienia biznesowego. Podkreśla konieczność zaangażowania i przygotowania zespołu testowego. Polecamy lekturę wszystkim, którzy dopiero planują testy lub chcą się upewnić, czy robią to dobrze.

PD 25666 zawiera również opis najpopularniejszych technik testowania:

  • ćwiczenia—to skoordynowane, nadzorowane działania, realizowane zwykle w celu sprawdzenie pojedynczych operacji, procedur lub funkcji; są stosunkowo proste w przygotowaniu i realizacji, dlatego mogą być często powtarzane; ich minusem jest wąski obszar weryfikacji, są jednak idealnym rozwiązaniem dla organizacji znajdujących się na wczesnych etapach budowy systemu zarządzania ciągłością działania; typowymi ćwiczeniami mogą być: weryfikacja procedur odtworzenia konkretnego procesu, zarządzania incydentami, powiadamiania, odtworzenia konkretnego systemu lub serwera, ewakuacji, uruchomienia lokalizacji zapasowej, itp.
  • seminarium—jego uczestnicy dzieleni są na grupy i otrzymują pytania związane z wybranym scenariuszem testu; grupy omawiają metody działania i reakcji na zdarzenie, a następnie przedstawiają swoje argumenty pozostałym uczestnikom; ostatecznie w trakcie moderowanej dyskusji ustalane są ostateczne metody działania, które mogą być ocenione przez prowadzącego test; przykładem seminarium mogą być warsztaty typu walk through, podczas których dokonywany jest przegląd procedur i weryfikacja ich kompletności i spójności pomiędzy różnymi zespołami;
  • testy „table-top/paper-test”—uczestnicy pełnią określone role, otrzymują komunikaty o zdarzeniach, które wystąpiły na zewnątrz i wewnątrz organizacji (tzw. information feeds) i na ich podstawie podejmują decyzje i symulują działania jednostki lub grupy osób;
  • symulacja—grupa osób (reprezentujących najczęściej decydentów: Zarząd, osoby zarządzające na średnim szczeblu, Sztab Antykryzysowy) musi reagować na symulowane zdarzenia; osoby te otrzymują komunikaty, na podstawie których podejmują decyzje istotne dla przebiegu akcji awaryjnej; ćwiczenie to jest bardzo elastyczne i może być łatwo dostosowane do wymagań i dojrzałości konkretnej organizacji; w zależności od stanu gotowości może na przykład wykorzystywać (lub nie) rzeczywiste lokalizacje zapasowe, istniejące zespoły awaryjne (lub zespoły zastępców), itp.; symulacja zazwyczaj wymaga udziału koordynatora oraz obserwatorów, notujących działania podejmowane przez uczestników testu; ćwiczenie to jest często stosowane w celu doskonalenia umiejętności managerskich w zakresie reagowania kryzysowego i podejmowania kluczowych decyzji w określonym (często bardzo krótkim) czasie RTO;
  • test operacyjny—są to najbardziej złożone (przez to również najbardziej ryzykowne) ćwiczenia, które mają symulować w sposób zbliżony do warunków rzeczywistych (chociaż bezpieczny) prawdziwe zdarzenie i reakcje uczestników; test taki weryfikuje wiele aspektów Planu: przebieg procedur, ich logistykę (połączenia i zależności między procedurami), zależności czasowe (w szczególności: możliwość odtworzenia procesów w zakładanym czasie), kwestie administracyjne (łatwość utrzymania dokumentacji) oraz ludzkie (czy zaangażowane osoby posiadają odpowiednie umiejętności, doświadczenie i uprawnienia); przykładem testu operacyjnego mogą być ćwiczenia, w których uczestniczą jednostki ratownicze i porządkowe, w których zespoły biznesowe przenoszone są do lokalizacji zapasowych (gdzie weryfikują dostępne wyposażenie), a kluczowe systemy IT przełączane są do ośrodka zapasowego.

Cel i wymagania

W testowaniu planów ciągłości działania istotne jest zastosowanie podejścia projektowego. Ćwiczenie powinno być dobrze zorganizowane, mieć jasno określone cele i zakres. Spodziewamy się osiągnąć konkretne wyniki—specyficzne, mierzalne, osiągalne, istotne i określone w czasie. Na etapie planowania testu muszą więc powstać kryteria oceny oraz realistyczny scenariusz. Całe ćwiczenie powinno być osadzone w kontekście przygotowanych wcześniej dokumentów, tj. Polityki i Strategii BCM oraz samego Planu i jego procedur. W zależności od organizacji może być również wymagane uwzględnienie dodatkowych obowiązków nakładanych przez przepisy prawa, wytyczne grupy kapitałowej, komórki audytu lub klientów firmy. Ponad wszystko test musi być bezpieczny, nie może wprowadzać dodatkowego zagrożenia przerwania krytycznych procesów biznesowych.

Zagrożenia

Jak w przypadku każdego projektu, istnieje kilka uniwersalnych zagrożeń, które mogą wpłynąć na realizację przedsięwzięcia.

Podstawowym zagrożeniem jest przygotowanie błędnego scenariusza. Może on na przykład bazować na zdarzeniu nierealistycznym lub sprzecznym z założeniami Planu (jeśli przewiduje on dostępność połowy pracowników, scenariusz nie powinien zakładać uderzenia samolotu pasażerskiego w połowie dnia roboczego w jedyną siedzibę firmy, jeśli znajduje się ona na terenie oddalonym od korytarzy powietrznych). W takim przypadku trudno oczekiwać, by wyniki testu były realistyczne (zgodnie z zasadą garbage in-garbage out). Błędny scenariusz może być skutkiem braku przygotowania lub doświadczenia osób odpowiedzialnych za realizację testu. W trakcie pierwszych testów istnieje również niebezpieczna tendencja przygotowania mało ambitnego scenariusza, tzw. happy path, czyli podstawowej, dobrze znanej wszystkim uczestnikom ścieżki realizacji procesów, nieuwzględniającej żadnych problemów i odchyleń. Rozwiązaniem problemu może być zaangażowanie w przygotowanie testu osób z większych doświadczeniem.

Kolejnym zagrożeniem jest niedokończenie testu. Dobrze przeprowadzone ćwiczenie powinno zrealizować cały zaplanowany scenariusz oraz zakończyć się raportem, zawierającym między innymi rekomendacje usprawnienia Planu lub całego Systemu Zarządzania Ciągłością Działania. Test zakończony przedwcześnie (np. w wyniku błędów popełnionych przez niedoświadczonego koordynatora) to ryzyko pominięcia istotnych części procedur (np. odtworzeniowych). Często zdarza się również, że organizacje zapominają o wdrożeniu zaleceń zespołu testowego, tracąc w ten sposób cenne doświadczenie oraz możliwości rozwoju i doskonalenia. Z pomocą przychodzi podejście projektowe i osadzenie testów w ramach szerszego programu, który wymusi przekazanie wyników ćwiczenia do kolejnego etapu (wdrożenia zaleceń testowych).

Podstawą większości testów jest zaangażowanie odpowiednich osób, również na wysokich szczeblach struktury organizacyjnej. We wczesnych fazach Programu BCM zdarza się, że jego leader nie jest rozpoznawany lub uznawany. Osoba ta nie potrafi przekonać Zarządu, członków Sztabu Antykryzysowego lub rzecznika prasowego do udziału w teście. Wyniki badania opublikowanego przez Business Continuity Institute oraz firmę Deloitte w marcu 2011 r. pokazują, że tylko 17% Zarządów jest dogłębnie angażowanych w testy BCP (22% nie jest włączane w testowanie w ogóle; reszta „bierze udział” zatwierdzając raporty). Oczywiście osoby, które nigdy nie przećwiczyły symulowanej sytuacji kryzysowej, z dużym prawdopodobieństwem nie poradzą sobie również z rzeczywistym zdarzeniem. Pewnym ułatwieniem, zwiększającym zaangażowanie dyrektorów i prezesów (poza silnym przywództwem Programu BCM), może być przygotowanie scenariusza, w którym zawarte zostaną zdarzenia o znaczeniu strategicznym, np. wymagające wysokiej decyzyjności finansowej, oznaczające całkowite załamanie rynku lub upadek kluczowego klienta/dostawcy.

Najpoważniejszym ryzykiem związanym z testowaniem planów ciągłości działania jest wprowadzenie zagrożenia, któremu BCM musi przede wszystkim przeciwdziałać—przerwanie ciągłości krytycznych procesów biznesowych. Najbardziej narażone na to ryzyko są organizacje, w których przeprowadzane są testy operacyjne. Niezidentyfikowane pojedyncze punkty awarii (wystarczy jeden niezabezpieczony element sieci telekomunikacyjnej), pospieszne i powierzchowne przygotowanie testu, wybór niewłaściwego dnia—to recepta na urzeczywistnienie najgorszego koszmaru BCM managera i przerwanie procesów biznesowych w wyniku testu. Na szczęście zagrożenie to jest dosyć oczywiste i większość organizacji przez wiele lat nawet nie próbuje przeprowadzać testów operacyjnych, właśnie z obawy przed spowodowaniem poważnej awarii.

Szanse

Dyskusję o zagrożeniach warto zakończyć refleksją na temat pozytywnej strony ryzyka, czyli o szansach.

Dobrze przeprowadzony test może oznaczać istotne korzyści dla organizacji, która go przeprowadza. Na pewno zwiększa on widoczność programu BCM, podnosi jego znaczenie, a w najbardziej sprzyjających okolicznościach może skutkować zwiększeniem budżetu i większym zaangażowaniem ludzi w kolejnych etapach prac (kolejna analiza BIA, analiza ryzyka, aktualizacja procedur).

Natychmiastowym rezultatem testu jest „binarna” informacja na temat możliwości odtworzenia krytycznych procesów biznesowych: udało się/nie udało się odtworzyć. To oznacza zwiększoną wiarę w powodzenie rzeczywistej reakcji kryzysowej. Zdarzają się również przypadki, gdy test przeprowadzany jest według scenariusza, który urzeczywistnia się kilka miesięcy później. Tak było w przypadku banku Euroclear—instytucji rozliczeniowej  funkcjonującej na rynku obligacji, pieniężnym, akcyjnym i funduszy inwestycyjnych; test przeprowadzony w lipcu 2008 roku zakładał nagłe bankructwo dużego partnera biznesowego, operującego na wielu rynkach, występującego zarówno jako istotny klient, jak i dostawca. Być może dzięki temu testowi Euroclear bez problemu poradził sobie z zawirowaniami powstałymi po upadku Lehman Brothers.

Testowanie ujawnia luki i możliwości usprawnień, w szczególności w punktach styku procedur i jednostek organizacyjnych. Dzięki temu jest doskonałą okazją na zwiększenie efektywności Planu i całego Systemu BCM.

Nie warto poprzestawać na przygotowaniu Planu i procedur awaryjnych. Dopiero testowanie daje rzeczywistą pewność, spokojny sen managerów, a bardzo często również niezłą zabawę podczas samego testu.

Artykuł jest omówieniem prezentacji przedstawionej 21 kwietnia 2011 w trakcie seminarium „Zarządzanie Ciągłością Działania. Najlepsze praktyki, doświadczenia, narzędzia wspierające”.