• (0)
    ISO-27001-ISO-22301-blog

    ISO 27001 i ISO 22301 Blog

    Pet savjeta za uspješnu analizu utjecaja na poslovanje

    Vjerojatno se pitate zašto nakon procjene rizika još morate provoditi i analizu utjecaja na poslovanje. Sve ste rizike identificirali, zar ne? Mnogo ste vremena potrošili na analizu svoje tvrtke, čemu dakle još jedna analiza?

    Svrha analize utjecaja na poslovanje ipak je nešto drukčija. U kontinuitetu poslovanja sve se vrti oko vremena – nije važno možete li oporaviti poslovnu aktivnost ako to ne možete učiniti u razumnom roku. Upravo se analizom utjecaja na poslovanje želi utvrditi što je “razumno” pa je njezin glavni cilj utvrditi ciljano vrijeme oporavka za svaku kritičnu aktivnost unutar organizacije.

    Takva se analiza često olako shvaća – kao prvo, tvrtka obično nije svjesna toga da bi krivi rezultati mogli dovesti do nepotrebnih troškova ili neprikladne strategije kontinuiteta poslovanja, a osim toga se i podcjenjuje trud koji je potrebno uložiti u provođenje analize utjecaja na poslovanje.

    Zbog toga ovdje navodim nekoliko savjeta koji će vašu analizu utjecaja na poslovanje učiniti uspješnijom:

    Shvatite analizu kao (mini) projekt. Odredite osobu odgovornu za provedbu analize i definirajte njezina ovlaštenja; definirajte opseg, ciljeve i vremenske rokove.

    Napravite domaću zadaću, pripremite dobar upitnik. Dobro strukturiranim upitnikom možete uštedjeti mnogo vremena, a rezultati će biti točniji. U normama BS 25999-1 i BS 25999-2 možete naći dobre smjernice što takav upitnik mora sadržavati – između ostalog morate utvrditi posljedice prekida i kako one variraju s vremenom, identificirati resurse koji su potrebni za oporavak i sl. Dobro je postaviti pitanja kojima se mogu ocijeniti i kvalitativni i kvantitativni učinci.

    Definirajte jasne kriterije. Ako osobe koje intervjuirate moraju na pitanja odgovarati tako da daju ocjene od 1 do 5, svakako objasnite što točno svaka od tih 5 ocjena znači. Nije rijetkost da posljedice istog događaja zaposlenici na nižim razinama ocijene kao katastrofalne, a najviši menadžment kao umjerene.

    Sakupljajte podatke u interakciji s ljudima. Najbolji se rezultati postižu kada osoba koja ima iskustva s kontinuitetom poslovanja provodi intervju s osobom koja je odgovorna za kritičnu aktivnost. Na taj se način razjašnjavaju mnoge nejasnoće i postiže ujednačenost u odgovorima. Ako intervjui nisu izvedivi, organizirajte barem jednu radionicu za sve sudionike kako bi mogli pitati sve što ih muči. Drugim riječima, nemojte im samo slati upitnike i izgrditi ih ako ih ne ispune na vrijeme.

    Ciljano vrijeme oporavka odredite tek nakon što utvrdite sve međuovisnosti. Primjerice, iz upitnika ćete možda zaključiti da je za kritičnu aktivnost “A” maksimalno tolerirano vrijeme prekida 2 dana, dok je maksimalno tolerirano vrijeme prekida za aktivnost “B” 1 dan i da se ne može oporaviti bez aktivnosti “A”. To znači da ciljano vrijeme oporavka aktivnosti “A” mora biti 1 dan, a ne 2 dana.

    Iz iskustva znam da su rezultati analize utjecaja na poslovanje često iznenađujući – obično je ciljano vrijeme oporavka dulje nego što se u početku mislilo, a analiza utjecaja na poslovanje otkriva ovisnost o nekim resursima koji u stvari predstavljaju jedinstvenu točku prekida. Ali najbolje je to što je analiza utjecaja na poslovanje najučinkovitiji način na koji ljude možete potaknuti da razmišljaju o neočekivanom – stvarajući takvu svijest povećavate vjerojatnost za opstanak svoje tvrtke.

    Ovaj besplatni webinar će Vam također pomoći: Implementing Business Impact Analysis according to ISO 22301.

    Advisera Dejan Kosutic
    Autor
    Dejan Kosutic
    Dejan posjeduje brojne certifikate, uključujući Certified Management Consultant, ISO 27001 Lead Auditor, ISO 9001 Lead Auditor i Associate Business Continuity Professional. Dejan rukovodi našim timom u uređivanju nekoliko internet stranica koje su specijalizirane za pružanje potpore ISO i IT stručnjacima u razumijevanju i uspješnom implementiranju vrhunskih svjetskih standarda. Dejan je magistrirao na Henley Management College, i posjeduje veliko iskustvo u području investicija, osiguranja i bankarstva. Poznat je po svojoj stručnosti na polju međunarodnih standarda za kontinuitet poslovanja i informacijsku sigurnost – ISO 27001 & ISO 22301 – i kao autor brojnih video tutorijala, paketa dokumentacije i knjiga.