Tο ISO 22301 αποτελεί ένα πρότυπο συστημάτων διαχείρισης για το BCM, το οποίο μπορεί να εφαρμοστεί σε οργανισμούς οποιουδήποτε μεγέθους και τύπου. Eπιτρέπει, επίσης, στον business continuity manager να επιδείξει το κορυφαίο μάνατζμεντ που επιτυγχάνεται από ένα αναγνωρισμένο στάνταρ.
Τη δεκαετία του ’80 και στις αρχές της δεκαετίας του ’90 ο σχεδιασμός αντιμετώπισης εκτάκτων αναγκών και το disaster recovery αποτελούσε θέμα του ΙΤ, διαμορφώνοντας την ασφαλιστική δικλείδα έναντι των φυσικών καταστροφών και τρομοκρατικών ενεργειών που μπορούσαν να επηρεάσουν την ομαλή λειτουργία των επιχειρήσεων. Με την πάροδο του χρόνου άρχισε να γίνεται περισσότερο αντιληπτό ότι αυτές οι διεργασίες θα έπρεπε να ελέγχονται περισσότερο από τις επιχειρήσεις, όπως και ότι θα έπρεπε να υπήρχε προετοιμασία για ακόμα περισσότερες περιπτώσεις απρόοπτων συμβάντων. Ολες αυτές οι ανάγκες οδήγησαν στη «γέννηση» του Business Continuity Management (BCM).
Καθώς κυβερνήσεις και ρυθμιστές άρχισαν να συνειδητοποιούν το ρόλο του Business Continuity (Επιχειρησιακή Συνέχεια) στη μείωση των επιπτώσεων που προκαλούν σοβαρά απρόοπτα γεγονότα, άρχισαν να απαιτούν από κρίσιμους παρόχους τη διασφάλιση της συνέχισης της λειτουργίας τους κάτω από δύσκολες συνθήκες, μέσω της υιοθέτησης του Συστήματος Διοίκησης Επιχειρησιακής Συνέχειας. Επιπλέον, οι επιχειρήσεις άρχισαν να συνειδητοποιούν τη μεγάλη σημασία της αλληλεξάρτησης τους, απαιτώντας από κύριους προμηθευτές και συνεργάτες τους τη διασφάλιση ότι αυτοί θα συνέχιζαν να τους παρέχουν στρατηγικά προϊόντα και υπηρεσίες, ακόμα και όταν θα συνέβαινε το απρόοπτο.
Ετσι, δημιουργήθηκε η ανάγκη για τη δημιουργία ενός αναγνωρισμένου μέτρου εκτίμησης καλών πρακτικών στο BCM, ένα ζήτημα που επιχείρησαν να διαχειριστούν αρκετά εθνικά στάνταρ, όπως αυτά που εμφανίστηκαν στην Αυστραλία, τη Σιγκαπούρη, τη Μ. Βρετανία και τις ΗΠΑ. Στη Μ. Βρετανία εμφανίστηκε το BS 25999, ένα πρότυπο συστημάτων διαχείρισης, με το οποίο οι οργανισμοί είχαν τη δυνατότητα να αποκτήσουν διαπιστευμένη πιστοποίηση για πρώτη φορά. Οταν οι διεθνείς οργανισμοί άρχισαν να ζητάνε ένα απλό και διεθνές πρότυπο, η επιτροπή ISO/TC 223 ανταποκρίθηκε αναπτύσσοντας το ISO 22301:2012. Το νέο στάνταρ αποτέλεσε το επιστέγασμα σημαντικού διεθνούς ενδιαφέροντος, συνεργασίας και προτάσεων.
Επιδεικνύοντας καλές πρακτικές, το ISO 22301 αποτελεί ένα πρότυπο συστημάτων διαχείρισης για το BCM, το οποίο μπορεί να εφαρμοστεί σε οργανισμούς οποιουδήποτε μεγέθους και τύπου. Αποκτώντας αναγνωρισμένη πιστοποίηση οι οργανισμοί αυτοί θα είναι σε θέση να αποδείξουν σε νομοθέτες, ρυθμιστές-ελεγκτές, υφιστάμενους και υποψήφιους πελάτες, αλλά και στα άλλα ενδιαφερόμενα μέρη, ότι όντως εφαρμόζουν καλές πρακτικές στο BCM.
Το ISO 22301 επιτρέπει, επίσης, στον business continuity manager να επιδείξει το κορυφαίο μάνατζμεντ που επιτυγχάνεται από ένα αναγνωρισμένο στάνταρ. Ενώ το ISO 22301 μπορεί να χρησιμοποιείται για πιστοποίηση και ως εκ τούτου περιλαμβάνει μάλλον σύντομες και περιεκτικές περιγραφές απαιτήσεων για κεντρικά συστατικά του BCM, αναπτύχθηκε ένα πιο εκτεταμένο πρότυπο (ISO 22313) που προσφέρει περισσότερες λεπτομέρειες για κάθε απαίτηση του ISO 22301.
Το ISO 22301 μπορεί, επίσης, να χρησιμοποιηθεί σε έναν οργανισμό για να μετρηθεί έναντι καλών πρακτικών, καθώς και από τους ελεγκτές που επιθυμούν να κάνουν αναφορές στη Διοίκηση. Ως εκ τούτου η επίδραση του στάνταρ εκτιμάται ότι θα είναι πολύ μεγαλύτερη σε σχέση με αυτούς που απλά θα επιλέξουν να πιστοποιηθούν με αυτό.
Αυξανόμενες ανησυχίες
Οι εργασίες γύρω από στο ISO 22301 ξεκίνησαν το 2006, όταν στη Φλωρεντία της Ιταλίας πραγματοποιήθηκε ένα ISO workshop με θέμα την «ετοιμότητα σε καταστάσεις εκτάκτου ανάγκης». Εκείνη την περίοδο, πολλοί ειδικοί υποστήριζαν ότι τα δικά τους εθνικά στάνταρ ήταν καταλληλότερα για να εξελιχθούν σε διεθνή πρότυπα. Καθώς αυτό δεν διευκόλυνε την κατάσταση, όλοι οι σημαντικότεροι εκπρόσωποι του χώρου συγκεντρώθηκαν για να συζητήσουν τις ομοιότητες ανάμεσα στα πρότυπα. Το πνεύμα συναίνεσης που υπήρχε, οδήγησε στη δημοσίευση ενός εγγράφου -οδηγού σχετικά με την προετοιμασία για την αντιμετώπιση καταστάσεων εκτάκτου ανάγκης και τη διαχείριση της επιχειρησιακής συνέχειας, με την ονομασία ISO/PAS 22399:2007.
Μια πρόκληση για το ISO 22301 ήταν ο μεγάλος αριθμός εθνικών εγγράφων, γεγονός που είχε δημιουργήσει δυσκολίες στην επίτευξη συμφωνίας. Η επιτροπή ήταν τότε έτοιμη για να δημιουργήσει ένα στάνταρ διαχείρισης συστημάτων με απαιτήσεις, το οποίο θα προορίζονταν για την πιστοποίηση. Τα δεδομένα από τα εθνικά στάνταρ χρησιμοποιήθηκαν για την ανάπτυξη του αρχικού σχεδίου διατυπώσεων, το οποίο βελτιώθηκε σταδιακά για να μετατραπεί σε ένα νέο έγγραφο, συγκεντρώνοντας όλες τις καλές πρακτικές από όλο τον κόσμο. Σημαντική ήταν η συμβολή χωρών, όπως οι Αυστραλία, Γαλλία, Γερμανία, Ιαπωνία, Δημοκρατία της Κορέας, Σιγκαπούρη, Σουηδία, Ταϊλάνδη, Μ. Βρετανία και ΗΠΑ. Επιπλέον, αρκετοί ακόμα συνέβαλαν στην ανάπτυξη του προτύπου, αποτυπώνοντας το μεγάλο διεθνές ενδιαφέρον και εμπλοκή.
Στα ενδότερα του ISO 22301
Το ISO 22301 αποτελεί το δεύτερο δημοσιευμένο πρότυπο διοίκησης συστημάτων που υιοθέτησε τη νέα υψηλού επιπέδου δομή και τυποποιημένο κείμενο που συμφωνήθηκε στο ISO. Ετσι διασφαλίζεται η συνοχή με όλα τα μελλοντικά και αναθεωρημένα στάνταρ διαχείρισης συστημάτων και κάνει ευκολότερη την ενσωμάτωση με πρότυπα όπως τα ISO 9001 (quality), ISO 14001 (environmental) and ISO/IEC 27001 (information security). Το πρότυπο είναι χωρισμένο σε δέκα κύρια κεφάλαια (clauses) και ξεκινά, με τον σκοπό, σχετικές αναφορές σε άλλα πρότυπα, τους όρους και ορισμούς. Ακολουθούν οι απαιτήσεις του προτύπου:
* Clause 4 –Το πλαίσιο της επιχείρησης
Ασχολείται καταρχάς με τον οργανισμό και την καταγραφή των εσωτερικών και εξωτερικών αναγκών του αναφορικά με το σκοπό του συστήματος διοίκησης. Αυτό συνεπάγεται, από πλευράς επιχείρησης, την κατανόηση των απαιτήσεων των ενδιαφερόμενων μερών, όπως είναι οι πελάτες, οι ελεγκτές-ρυθμιστές και το προσωπικό. Ειδικότερα θα πρέπει να γίνουν αντιληπτές οι εφαρμοστέες νομικές και ρυθμιστικές απαιτήσεις. Με αυτό τον τρόπο μπορεί να καθοριστεί η έκταση του Business Continuity Management System (BCMS).
* Clause 5 – Ηγεσία
Το ISO 22301 δίνει μεγάλη έμφαση στην ανάγκη κατάλληλης ηγεσίας του BCM. Αυτό σημαίνει ότι η ανώτατη διοίκηση θα διασφαλίσει την παροχή κατάλληλων πόρων για το BCM, θα εκπονήσει και εδραιώσει τις σχετικές πολιτικές και θα τοποθετήσει τα πλέον αρμόδια στελέχη για την υλοποίηση και συντήρηση του συστήματος BCM.
* Clause 6 – Σχεδιασμός
Αυτό απαιτεί από τον οργανισμό να αναγνωρίσει τα ρίσκα για την υλοποίηση ενσωμάτωσης του συστήματος διοίκησης και να θέσει ξεκάθαρους στόχους και κριτήρια, για τη μέτρηση της επιτυχίας του.
* Clause 7 – Υποστήριξη
Δεδομένου ότι για την υλοποίηση του συστήματος απαιτούνται πόροι, το Clause 7 εισάγει τη σημαντική έννοια της αρμοδιότητας. Για να πετύχει το business continuity στην πράξη πρέπει να αξιοποιηθούν άνθρωποι με τις κατάλληλες γνώσεις, ικανότητες και εμπειρία, τόσο για να συνεισφέρουν στο BCMS όσο και για να δράσουν όταν συμβαίνουν τα έκτακτα συμβάντα. Είναι, επίσης, σημαντικό ότι όλο το προσωπικό θα πρέπει να έχει επίγνωση του ρόλου του όσον αφορά στην ανταπόκρισή του στα περιστατικά και αυτό το clause καλύπτει όλες αυτές τις περιοχές. Η ανάγκη της επικοινωνίας του BCMS – όπως για παράδειγμα, η ενημέρωση των πελατών ότι ο οργανισμός έχει σε λειτουργία κατάλληλο Σύστημα BCM – και η ετοιμότητα για επικοινωνία μετά την εκδήλωση ενός συμβάντος (όπου τα κανονικά κανάλια επικοινωνίας μπορεί να έχουν διαταραχθεί) καλύπτεται, επίσης, εδώ.
* Clause 8 – Λειτουργίες
Αυτή η ενότητα περιλαμβάνει το κυρίως σώμα συγκεκριμένης τεχνογνωσίας business continuity . O οργανισμός οφείλει να προχωρήσει σε μελέτη αντικτύπου (business impact analysis) προκειμένου για να αντιληφθεί πώς η ομαλή λειτουργία της επιχείρησης μπορεί να επηρεασθεί σημαντικά από ένα απροσδόκητο γεγονός και πώς αυτό μεταβάλλεται με την πάροδο του χρόνου. Η μελέτη διακινδύνευσης έχει σαν στόχο την κατανόηση με ένα δομημένο τρόπο και αυτό προσφέρει την πληροφόρηση για την ανάπτυξη της στρατηγικής επιχειρησιακής συνέχειας.
Παράλληλα, με τις ενέργειες που γίνονται με στόχο την αποφυγή ή μείωση της πιθανότητας εμφάνισης έκτακτων συμβάντων γίνονται και ενέργειες για τη διαχείριση του απρόοπτου όταν αυτό συμβαίνει το απροσδόκητο. Καθώς είναι αδύνατο να προβλέψεις ή να αποφύγεις όλα τα συμβάντα, η προσέγγιση που εξισορροπεί τη μείωση του ρίσκου σε συνδυασμό με το σχεδιασμό για όλα τα ενδεχόμενα είναι η πλέον ενδεδειγμένη. Θα μπορούσε να πει κανείς «έλπιζε για το καλύτερο και σχεδίαζε για τα χειρότερα».
Το ISO 22301 δίνει έμφαση στην ανάγκη για την ύπαρξη μια καλά προσδιορισμένης δομής αντιμετώπισης εκτάκτων περιστατικών. Με αυτό τον τρόπο όποτε συμβαίνουν τα περιστατικά, η αντιμετώπισή τους θα κλιμακώνεται χρονικά και οι αρμόδιοι θα έχουν την εξουσία για να προβούν στις απαραίτητες ενέργειες για να γίνουν αποτελεσματικοί. Ιδιαίτερη έμφαση δίνεται επίσης στην ασφάλεια της ανθρώπινης ζωής . Στο Clause 8 καθορίζονται, επίσης οι απαιτήσεις για τα σχέδια του business continuity. Κατανοητά και εύχρηστα έγγραφα είναι περισσότερο κατάλληλα από μακροσκελή, δυσλειτουργικά έγγραφα, τα οποία είναι περισσότερο κατάλληλα για ελεγκτές. Κατά συνέπεια τα μικρότερα πλάνα δράσης είναι πολύ πιο πρακτικά και χρήσιμα από μεγάλα πλάνα.
Μια απαίτηση που δεν είχε απασχολήσει προηγουμένως τα πρότυπα επιχειρησιακής συνέχειας είναι η ανάγκη σχεδιασμού επιστροφής στην κανονική επιχειρηματική δραστηριότητα. Αυτή η απλή απαίτηση κάνει τους οργανισμούς να καθορίσουν τι θα κάνουν άπαξ και αντιμετωπιστεί η αρχική κατάσταση εκτάκτου ανάγκης. Το τελευταίο εδάφιο της όγδοης ενότητας καλύπτει ασκήσεις και τεστ, ένα βασικό μέρος του BCM. Τα τεστ γίνονται για να φανεί αν κάποια στοιχεία του business continuity λειτουργούν ή όχι. Για παράδειγμα, μπορώ να ελέγξω αν μια γεννήτρια μπορεί να λειτουργήσει όταν πατήσω το διακόπτη on. Μια άσκηση μπορεί να περιλαμβάνει τεστ, αλλά γενικά αποτελεί μια περισσότερο ευέλικτη προσέγγιση, που τεστάρει μέσω προσομοίωσης την απόκριση σε ένα συμβάν.
Αυτό περιλαμβάνει συνήθως στοιχεία εκπαίδευσης και ευαισθητοποίησης για το πώς διαχειριζόμαστε έκτακτα γεγονότα, με δύσκολα και ασυνήθιστα χαρακτηριστικά, ενώ παράλληλα διαπιστώνει αν οι διαδικασίες λειτουργούν στην πράξη όπως πρέπει. Στο ISO 22301 οι ασκήσεις και τα τεστ είναι κεφαλαιώδους σημασίας μόνο μέσα από καλά σχεδιασμένες ασκήσεις – οι οποίες θα «δοκιμάσουν» άτομα και ομάδες – μπορούμε να πετύχουμε επιθυμητή ασφάλεια και να είμαστε σίγουροι ότι τα πάντα θα λειτουργήσουν βάσει σχεδίου και ότι όντως όλα θα τεθούν σε εφαρμογή όποτε και όταν απαιτηθεί.
* Clause 9 – Αξιολόγηση
Για κάθε σύστημα διοίκησης είναι ουσιαστικό να γίνει αξιολόγηση των επιδόσεων σύμφωνα με το σχέδιο. Για αυτό το λόγο το ISO 22301, απαιτεί ότι ο οργανισμός χρησιμοποιεί τα κατάλληλα metrics αξιολόγησής του. Υπάρχει απαίτηση να διεξάγονται εσωτερικοί έλεγχοι, ενώ το management όχι μόνο θα κάνει επισκόπηση του Συστήματος, αλλά και θα προχωρεί σε ενέργειες βάσει των αποτελεσμάτων της επισκόπησης του συστήματος.
* Clause 10 – Βελτίωση
Κανένα σύστημα διαχείρισης δεν είναι τέλειο από την αρχή, ενώ οι οργανισμοί και το περιβάλλον τους αλλάζει διαρκώς. Το Clause 10 καθορίζει τις δράσεις που πρέπει να γίνουν για τη βελτίωση του BCMS στην πάροδο του χρόνου, διασφαλίζοντας ότι οι διορθωτικές κινήσεις που προτείνονται από τους ελεγκτές, τα reviews και τις ασκήσεις κ.λπ. όντως θα υλοποιηθούν.
Επιτυχημένη ενσωμάτωση
Για να λειτουργήσει σωστά το ISO 22301, οι οργανισμοί πρέπει να κατανοήσουν πλήρως τις απαιτήσεις του. Κάθε γραμμή και λέξη έχει αξία και η σχετική σημασία δεν αντανακλάται απαραίτητα από τον αριθμό των λέξεων που αφιερώνονται σε ένα θέμα. Με βάση τα παραπάνω, το BCM δεν είναι απλά ένα project ή μια διαδικασία ανάπτυξης ενός «σχεδίου». Αντίθετα συνιστά μια συνεχή διεργασία διοίκησης που απαιτεί ικανούς ανθρώπους που θα εργάζονται με την κατάλληλη υποστήριξη καθώς επίσης δομές που θα λειτουργήσουν, όταν χρειαστεί.
1st Business Continuity Management Forum
O Dave Austin θα είναι κεντρικός ομιλητής στο 1st Business Continuity Management Forum, το οποίο διοργανώνεται από την Βοussias Communications σε συνεργασία με την Fidel & Fortis στις 18 Φεβρουαρίου 2014. Το συνέδριο φιλοδοξεί να αποτελέσει το εφαλτήριο για τη σταδιακή υιοθέτηση μιας νέας αντίληψης γύρω από την Επιχειρησιακή Πρόληψη και Συνέχεια στη χώρα μας και να συμβάλει στη συνειδητοποίηση όσων κατέχουν θέσεις ευθύνης, ότι η θωράκιση της επιχείρησης δεν είναι πολυτέλεια ή υπερβολή, αλλά αντίθετα αποτελεί επένδυση στη μελλοντική βιωσιμότητά της.