טיפים לניהול המשכיות עסקית
המשכיות עסקית הוא תחום בעל משמעות אשר דורש יכולות התאוששות במקרה של מצבי חירום ואסון, איך עושים זאת?
תרחישי הבלהות
הצעד הראשון ל-BCP הוא בניית תרחישי הייחוס, המתארים את מאפייני האיום. לא ניתן להתייחס לכל האיומים, ולאו דווקא צריך להתייחס לחמורים מכל – אלא לדברים החשובים ביותר מבחינת מדיניות הארגון וערכיותו. לארגון עסקי, למשל, משבר ברמה הלאומית הוא לאו דווקא תרחיש הבלהות, אלא דווקא מצב בו הרגולטור פועל ולא סולח,
המתחרים חיים ובועטים, הלקוחות דורשים ומתלוננים, השוק מגיב ורק הארגון שלו במשבר.
אלמנט חשוב נוסף בתרחישי הייחוס הוא המציאותיות שלהם. אם הנטייה הראשונית שלנו היא לפרק בעיה לגורמים, הרי שבמציאות הרבה גורמים קשורים זה לזה בקשר סיבתי. אם ננסה להתמודד עם כל תרחיש כעומד בפני עצמו, נייצר תוכנית המשכיות עסקית שלא תעמוד במבחן המציאות.
שלב הפתרונות
לאחר הגדרת האיומים, מגיע שלב ההתמודדות עמם. בשלב זה חשוב שלא להיסחף לדוגמטיות שעולה הרבה כסף. בשל כך כדאי להשאיר בצוות תוכנית ההמשכיות העסקית גורם תמים ולא משוחד, שיחפש תמיד את הפתרונות הפשוטים.
חשוב גם לקחת בחשבון את הנזקים העקיפים (תחושת הלקוחות, העובדים, הספקים וכו'), שעשויים להיות לא פחות חשובים מהנזקים הישירים. ייתכן שאנחנו עושים את כל הדברים הנכונים, אך חשוב גם לעשותם נכון – כלומר, לא רק לטפל בבעיה, אלא גם לשדר שהבעיה מטופלת ובשליטה.
המטרה היא ללמוד, לא לנצח
כדי שהארגון יהיה ערוך להתמודד עם המשבר בשעת חירום, הוא צריך לדבר את השפה ולתקף נהלי חירום כחלק מהשגרה, ולא כתוצר של המשבר האחרון. כדי שה-BCP תצליח ולא תישאר בגדר מסמכים, חשוב לתרגל אותה.
כשבונים תרגיל, אין טעם לבנות אותו כך שבסופו הארגון ינצח. דווקא בתרגילים בהם אנחנו "מפסידים", לומדים הכי הרבה. תיעוד טוב במהלך התרגיל משפר את יכולת התחקור, אולם כאשר מדובר במנהלים, תיעוד עלול לשתק את התרגול האמיתי. בתרגיל, לטעות זה בחינם.
אם התרגיל הסתיים בהצלחה – זה לא הזמן לחדול מלתרגל. כפי שכנר מקצועי לא מפסיק להתאמן אחרי הפעם הראשונה שניגן יצירה בהצלחה, כך גם ב-BCP: ניתן להפסיק
לתרגל כאשר לא מצליחים יותר לטעות.
היום שאחרי
האירוע נגמר באמת רק עם חזרה מלאה למצב שגרה (בהיבטים הטכנולוגיים, התפעוליים, האנושיים, העסקיים/מבצעיים), אך זה עלול לקחת זמן. לכן, יש לכלול בתוכנית גם שלבי ההתאוששות, למשל – האם אתר הגיבוי יכול להחליף את האתר הראשי לאורך זמן?
בהקשר זה, יש להפריד בין תרחישי ייחוס "רגילים" לבין תרחיש סייבר. במצב האחרון לא מדובר בשיבוש פעילות הארגון בנקודת זמן, שיש לטפל במוכנות להתרחשותו וביכולת "לפתור" אותו. כדי להתגונן מפני תרחיש הסייבר, צריך להיות ערוכים למערכה רציפה – בה פועלים בנוכחות הבעיה, ולא אחריה.
בור ללא תחתית?
צריך להסתכל על ה-BCP מתוך שיקולי עלות-תועלת, כשלוקחים בחשבון הסתברות וסבירות האירוע, השפעתו על הארגון במונחי הנזק (BIA) ועלויות צמצום האיום מול עלויות צמצום הנזק מהתממשותו. זה המקום לשלב חוקרי ביצועים וכלכלנים, ולא פאניקה.
הכותב הוא מנהל תחום תכנון, בקרה וטכנולוגיות ניהול במטריקס