Vad händer om er huvudserver går ner i en vecka? Om er viktigaste underleverantör plötsligt går i konkurs? Eller om en brand gör era kontorslokaler obrukbara? För många företag skulle en sådan händelse innebära ett omedelbart och katastrofalt stopp i verksamheten. Det är här kontinuitetsplanering, eller Business Continuity Management (BCM), kommer in. Det handlar om att ha en plan B för att säkerställa att kritiska funktioner kan fortsätta fungera, även när en allvarlig störning inträffar.
Vad skiljer kontinuitetsplanering från krisledning?
Medan krisledning fokuserar på att hantera själva händelsen – släcka branden, stoppa dataintrånget – fokuserar kontinuitetsplanering på att hantera konsekvenserna av händelsen. Huvudfrågan för BCM är: “Hur kan vi fortsätta leverera våra viktigaste produkter eller tjänster till våra kunder, trots att vi har drabbats av en allvarlig störning?”. Det är ett proaktivt förhållningssätt som syftar till att bygga in motståndskraft (resiliens) i organisationens processer. Målet är att minimera avbrottstiden och de ekonomiska förlusterna.
Business Impact Analysis (BIA) – Grunden i all kontinuitetsplanering
För att kunna skapa en effektiv kontinuitetsplan måste man först förstå vilka delar av verksamheten som är mest kritiska. Detta görs genom en så kallad Business Impact Analysis (BIA). Processen innefattar flera steg:
- Identifiera kärnprocesser: Vilka är de absolut viktigaste processerna för att verksamheten ska kunna fungera och leverera värde till kunderna?
- Analysera beroenden: Vilka resurser är varje kärnprocess beroende av? Det kan vara specifika IT-system, nyckelpersonal, fysiska lokaler eller externa leverantörer.
- Bedöm konsekvenser över tid: Vad blir konsekvenserna om en process ligger nere i en timme? En dag? En vecka? Detta hjälper till att fastställa en tolerabel nertid (Recovery Time Objective, RTO) för varje process.
- Prioritera: Baserat på analysen kan man prioritera vilka processer som måste återställas snabbast.
Resultatet av en BIA är en tydlig karta över verksamhetens mest sårbara punkter och en prioriteringslista för återställningsarbetet.
Strategier för att säkerställa kontinuitet
När de kritiska processerna och deras beroenden är identifierade, kan man börja utveckla strategier för att säkerställa kontinuitet. Dessa kan se olika ut beroende på verksamhet och risknivå:
- Redundans: Att ha dubbla uppsättningar av kritisk utrustning eller IT-system. Om ett system fallerar kan man snabbt växla över till det andra.
- Alternativa arbetsplatser: Att ha avtal om tillgång till reservkontor eller etablerade rutiner för distansarbete.
- Diversifiering: Att använda flera olika underleverantörer för kritiska komponenter för att inte vara sårbar för en enskild partners problem.
- Manuell backup: Att ha utarbetade manuella rutiner som kan användas om ett digitalt system ligger nere under en kortare period.
Att välja rätt strategi är en balansgång mellan kostnad och risknivå. Genom att anlita
kan man få hjälp att göra en korrekt avvägning och bygga en plan som är både effektiv och kostnadsmedveten.
En levande process
Precis som en krisplan måste en kontinuitetsplan ses som en levande process. Den behöver testas, utvärderas och uppdateras regelbundet för att vara relevant. En väl genomförd kontinuitetsplanering är ett kraftfullt verktyg som inte bara skyddar företaget i kristider, utan också ger ett betydande konkurrensmässigt övertag.