Så skyddar du dina affärskritiska processer
Säkerhetsåtgärder Att säkra de affärskritiska processerna i ditt företag är viktigt om verksamheten ska kunna upprätthållas vid en kris. Så här går det till.
Vad gör du om de mest centrala processerna i din verksamhet fallerar? För detta behöver du en plan, så att de affärskritiska processerna är säkrade när det som inte ska hända händer. Affärskritiska är alla de processer som krävs för att verksamheten ska nå sina affärsmål. Att säkra dem handlar om att planera för att upprätthålla verksamheten på en acceptabel nivå oavsett vad som händer: brutna leveranskedjor, brand eller pandemier.
Någonting är fel
Läs vidare – starta din prenumeration
- Strategiska artiklar med tips och analyser.
- 6 fullmatade magasin årligen.
- Tillgång till premiumnyheter på vdtidningen.se.
- 100 procents fokus på vd-rollen.
Ett mål bör också vara att mildra konsekvenserna av händelsen, samt bädda för en snabb återhämtning. Allt sammantaget handlar det om det som Myndigheten för samhällsskydd och beredskap, MSB, kallar för ”kontinuitetshantering”. För att kunna hålla verksamheten igång under en händelse, mildra konsekvenserna och få en snabbare återhämtning, så behövs en plan. Och för att nå dit krävs ett grundligt arbete, oavsett om processen sköts internt eller med extern konsulthjälp.
De 3 viktiga punkterna
Lars Zetterström, vd på Kronan Säkerhet och utbildare i risk- och sårbarhetsanalys och åtgärdsplaner, ger en översiktsbild av förfarandet. Kraftigt komprimerat kan man säga att det systematiska arbetet för att säkra kritiska affärsprocesser följer denna gång:
- Identifiera skyddsvärda tillgångar. Definiera hot och sårbarheter.
- Gör en riskbedömning. Beskriv troliga konsekvenser om hotet inträffar, bedöm sannolikheten och beräkna riskvärdet.
- Gör en åtgärdsplan. Prioritera vad som ska göras, vem som bär ansvaret för utförandet och vem som äger risken. När denna plan görs måste också kostnadsperspektivet vägas in: Vad väger kostnaden för skyddsåtgärden jämfört med kostnaden för eventuellt inträffad händelse?
Gör en ”BIA”
Lars Zetterström ger ett hypotetiskt exempel som liknar uppdrag han utfört. Låt oss säga att kunden är ett företag vars kärnverksamhet utgår från en tillverkningsanläggning. Denna anläggning är central för verksamhetens existens, alltså identifierar vi den som företagets främsta skyddsvärda tillgång.
Vad händer om tillverkningsanläggningen slås ut? För att ta reda på det så genomför du en ”Analys av affärspåverkan”, en så kallad BIA (Business Impact Analysis). På det här stadiet är det inte nödvändigt att formulera några konkreta hot eller möjliga händelser, du måste inte heller räkna på sannolikheten.
Du behöver alltså bara ställa upp själva kärnfrågan: vad händer om tillverkningsanläggningen slås ut? I vårt hypotetiska exempel räknar vi ut att verksamheten påverkas redan efter några dagar om tillverkningen har avstannat. Men på grund av lagerkapacitet och så vidare kan verksamheten ändå fortsätta leverera i tolv veckor utan anläggningen. Det vill säga: efter tolv veckor utan tillverkning så avstannar leveranserna. Detta är vår acceptabla avbrottstid.
BIA:n pekar på brister
I vår BIA analyserar vi också hur lång tid det tar att bygga upp själva anläggningen, med maskiner och allt. Våra beräkningar säger 38 veckor. Men tänk om även själva byggnaden som anläggningen finns i förstörs – hur lång tid tar det då att återuppbygga den? Vår analys svarar: 49 veckor.
– Då har vi två stycken vågskålar, förklarar Lars Zetterström. I den ena: acceptabel avbrottstid, tolv veckor. Och i den andra, när någonting inträffar, oavsett vad det är, ett avbrott på 49 veckor. Kanske har vi en annan byggnad där kan vi bygga upp anläggningen och då kan vi göra det på 38 veckor. Men vi inser ändå blixtsnabbt att det här är inte hållbart.
Gör en kontinuitetsplan
Nu kommer nästa steg: Kontinuitetsplanen. Den ska beskriva vägen till en snabb återhämtning när något händer. Om anläggningen förstörs och den acceptabla avbrottstiden är tolv veckor, då behöver vi ta fram en plan på hur vi kan återskapa vår anläggning på tolv veckor; inte på 38 eller 49 veckor som vår BIA-analys säger att det kommer att ta under rådande omständigheter.
– I det här fallet går det att lösa genom några strategiska investeringar och ett nära samarbete med försäkringsgivaren, så att man snabbt kan få loss tillräckliga resurser för att bygga upp anläggningen på den stipulerade tiden, säger Lars Zetterström.
Hot och åtgärder
Med de här beräkningarna har vi då en plan för hur anläggningen ska återuppbyggas och hur beslutsgången ska se ut för att man ska lyckas med det på tolv veckor. Har man nu inte redan gjort en riskbedömning så är de flesta kunder i det här skedet motiverade att ta tag i den saken, konstaterar Lars Zetterström. När man har klart för sig hur hårt verksamheten kan drabbas, och vilka kostnader en återuppbyggnad är förenad med, då vill de flesta känna till riskerna och göra sitt bästa för att eliminera dem.
– Då tittar vi på möjliga hot, gör en sannolikhetsbedömning och ser vilka behov som finns. Kanske bör vi investera i skyddsåtgärder, utbildning av personal, eller titta på en alternativ produktionsplats och så vidare, förklarar Lars Zetterström och fortsätter:
– Och så tar vi det sista steget – det som brukar kallas för ett systematiskt säkerhetsarbete. Det kan vara att man inte släpper in obehöriga som kan orsaka störningen som finns i vår riskbedömning. Det kan vara brandskyddsåtgärder och brandlarm, eller att man har ett proaktivt arbetssätt. Men allt det där kostar ju pengar, och jag vet att det är värt investeringarna eftersom jag väger dem mot kostnaden för störningarna som jag har beräknat i min business impact analysis.
Du kan läsa mer om riskanalys och kontinuitetshantering här och här
