RAZPRAVE
B Upravljanje neprekinjenega poslouanja v slovenskih organizacijah
Borut Žmdar1. Aleš Gro/nik3
1 Avtente-si. sistemska integracija in poslovne rešitve, fi. n o., Ljubljana; hnriit.znidar@avtenta.si ■' Univerza v Ljubljani, Univerza v Ljubljani, Ekuriumska fakulteta v Ljubljani, alBsr;groznik@ef.uni-lj.si
Povzetek
Prispevek obravnava upravljanje neprekinjenega poslovanja v slovenskih organizacijah. Neprekinjeno poslovanje je v sodobnem času izziv, s katerim se sooča ju organizacije. Vsaka organizacija se mora zavedati posledic nepričakovanih prekinitev poslovanja, z njimi povezanih tveganj in stroškov. Potreba po hitrem okrevanju in vzpostavitvi poslovanja v prvotno stanje zahteva vnaprejšnje planiranje in pripravo. Pri tem potrebujemo izdelan načrt neprekinjenega poslovanja. S pomočjo načrta neprekinjenega poslovanja organizacija ostaja pripravljena na nepričakovane dogodke in njihove negativne posledice. S stanjem uvaianja neprekin|enega poslovanja v Sloveni|i ne moremo biti zadovoljni Rezultati ankete kažejo, da neprekinjeno poslovanje upravljajo v finančni dejavnosti, medtem ko je stanje neprekinjenega poslovanja v javni upravi in zdravstvu slabu.
Abstract
Business Continuity Management in Slovene Organisations
The paper introduces the status of business continuity management in Slovene organisations. !n today's volatile business environment one of the key questions is how Lo maintain business continuity. Organisations have to be aware of sudden business interruptions accompanied with business risks and costs The need for fast recovery calls for business planning in terms of business continuity management. Business continuity management with business recovery plan ensures organisation readiness in terms negative im pacts of business interruptions. The study shows that business continuity management in Slovene organisations has been introduced in financial sector whereas public sector, especially health institutions, experiences a severe lack of business continuity management
1 Uvod
Neprekinjeno poslovanje (NP) predstavljajo vse aktivnosti, ki omogočajo neprekinjeno poslovanje organizacije v primeru kriznih situacij. Gbseya prnaktivne in reaktivne načrte za izogibanje kriznim situacij in katastrnfam ter omogoča hitro obnovo poslovanja, če pride do njih.
Ekonomist Peter F. Drucfcer (Drucker, 1972), je kot glavno nalogo organizacije postavil preživetje in kot vodilni princip poslovne ekonomije izogibanje izgubi in ne povečevanje dobička. Pri uresničevanju naloge preživetja vidimo izogibanje izgubi na dveh področjih: v okviru običajnega poslovanja kot menedžment kontrole izgube in v primeru katastrofe kot krizni menedžment. Članek obravnava upravljanje neprekinjenega poslovanja kol mehanizem poslovanja v primeru katastrofe, incidenta, izpada Lleia poslovanja.
Razlogov za izpad poslovanja je veliko in so lahko posledica naravnih sil, človeške napake, sabotaže ali tehnične napake. Marsikateri od njih lahko povzroči katastrofalne posledice za poslovanje organizacije. Rezultat so lahko poškodovano premoženje, prekinjen poslovni proces, izguba prihodka, ogrožen konku-
renčni položaj. Vse te posledice neposredno alt posredno vplivajo na poslovanje organizacije.
VVallace (Wallace, 2004) meni, da lahko katastrofa pomeni vse od izpada ključnega strežnika do naravne nesreče, ki uniči celotno poslovno enoto. Vse kar lahko povzroči prekinitev normalnega poslovanja lahko postane tudi katastrofa, zato večina organizacij brez skrbnega načrtovanja neprekinjenega poslovanja ne more preživeti večje prekinitve poslovanja.
Zato je pomembno, da je organizacija sposobna tudi v primeru hudih prekinitev poslovanja čim prej vzpostaviti nadzor nad dogajanjem in pričeti z obnovo poslovanja ter vzpostavitvijo delovanja kritičnih funkcij v najkrajšem času. V času izpada je čas največji sovražnik, saj lahko izgubljeni čas prevedemo v nezadovoljne stranke, izgubljen prihodek, kazni itn.
Tradicionalno so se organizacije pri pripravi obnove poslovanja v primeru katastrofe osredofočale na informacijsko infrastrukturo. Kritične funkcije organizacije so navadno zelo povezane z delovanjem informacijske tehnologije in je zato njeno hitro okrevanje zelo
mm številka 1 ■ letnik XV
u f o h * ù n a INFORMATIKA 41
Beirut Anidar, Ales Groznik Upravljanje neprekinjenega poslovanja v slovenskih organizacijah
pomembno, vseeno pa imajo lahko malo vrednosti, če ne poskrbimo /a širše okrevanje ključnih poslovnih procesov.
Fulmer (Fultner, 2005) priporoča, naj priprava načrta neprekinjenega poslovanja vsebuje naslednje ključne korake:
■	določitev vseh računalniških sistemov, aplikacij, ljudi, opreme in zalog, potrebnih za okrevanje;
■	priprava rezervnega postopka za kritične datoteke in sisteme ier varen podatkovni podsistem na oddaljeni lokaciji;
• določitev ene ali več rezervnih lokacij, kjer se lahko izvajajo obdelava podatkov in poslovne operacije;
■	priprava učinkovite kontrole nad izvajanjem obnove;
■	določitev zunanjih sredstev in partnerjev, ki lahko pomagajo v procesu okrevanja;
- testiranje načrta, ki pokaže zmožnost zagotovitve zahtevanega nivoja storitve za ključne poslovne procese in obnovo poslovanja; . vzdrževanje načrta upravljanja neprekinjenega poslovanja.
Glede na prepletenost poslovanja in informacijske tehnologije v organizacijah se večina postopkov neprekinjenega poslovanja začne v oddelku informatike, ki zagotavlja obnovo informacijskega sistema v primeru izpada. V nadaljevanju se aktivnosti prenesejo na poslovne procese in zagotavljanje njihovega neprekinjenega poslovanja.
Vpeljava neprekinjenega poslovanja se po navadi začne kot projekt vpeljave, ki nato preide v program opravljanja neprekinjenega poslovanja. Glede na obseg (informatika ali poslovni procesi), vključenost poslovnega dela organizacije ipd. je mogoče opredeliti, kje so posamezne organizacije na poli uvajanja neprekinjenega poslovanja. Namen tega članka je prikaz stanja upravljanja neprekinjenega poslovanja v slovenskih organizacijah.
2 Anketa d stanju neprekinjenega poslovanja u Sloveniji
Čeprav je neprekinjeno poslovanje izrednega pomena za poslovanje organizacij, je stanje v Sloveniji slabo raziskano. Osnovni namen članka je podati izsledke raziskave neprekinjenega poslovanja v slovenskih organizacijah. V la namen smo po vzoru tujih raziskav {Verton, 2000; Smith, 2002; Swanskön in Wohl, 2002) oblikovali vprašalnik, ki so ga najprej testirali in
verificirali neodvisni strokovnjaki s področja neprekinjenega poslovanja. Cilj ankete je bil ugotaviti stanje vpeljevanja neprekinjenega poslovanja, vpeljanih elementih neprekinjenega poslovanja ter posredno odvisnost med stopnjo vpeljave ter panogo, zahtevami regulalive ipd.. Anketa je imela 13 vprašanj in je bila razdeljena na tri področja: profil organizacije in udeleženca, načrt neprekinjenega poslovanja organizacije in Zaznane motnje poslovanja. Anketiranje je bilo izvedeno naključno, v sklopu dveh konferenc, ki sta aprila 2006 potekali v Sloveniji. Prvi dogodek je bil forum 1RM, na katerem je sodelovalo več kot 600 udeležencev, drugi dogodek pa je bila konferenca o neprekinjenem poslovanju s 64 udeleženci, ki jo je organiziral in vodil Inštitut Iziv,
Na obeh srečanjih smo med udeleženci izvedli anonimno anketo o upravljanju neprekinjenega poslovanja v slovenskih organizacijah. Vrnjenih in veljavnih je bilo80 vprašalnikov; opravljena statistična analiza je potrdila, da je vzorec reprezentativen.
2.1 Udeleženci raziskave
Udeleženci obeh konferenc in še posebej udeleženci v tej anketi sodijo med bolj zainteresirane ne leni področju, saj so v večini organizacij že vpeljali ali pa vpeljujejo program neprekinjenega poslovanja. Zato se /tli smiselna domneva, da udeleženci predstavljajo segment slovenskih organizacij, ki jim je blizu pojem neprekinjenega poslovanja. V anketi prevladujejo štiri dejavnosti (slika 1): finančna dejavnost, informacijskotehnološke storitve, javna uprava in gospodarska dejavnost. Te štiri dejavnosti, predvsem
3,0%
I 1 management	□ ostalo
[ I vodstvo IT	svetovanje
J osebje JT	nolríinja r&vizijtt
Slika V	Panoge podjetij udeležencev
LI u v (j; R: • B » t INFORMATIKA
ÏCIUÏ štcvilkit i (elnikXV
Borul Žnidar, Aleš Groznik: Upravljanje neprekinjenega poslovanja v slovenskih organizacijah
prva, so tudi najdejavnejše na področju izvajanja neprekinjenega poslovanja v Sloveniji.
5,0 %
6,0 %
26,0%
31,0%
4.0%
14,0 %
j_| finančna institucija
[~~1 gospodarska dejavnost
javna uprava | I zdravstvo
14.0 %
■ storitve H trgovina H ostalo
% 100 i
00
60
40

do 20	20-100	100-500
it. zaposlenih v podjetju
nad 500
Slika 2 Struktura položaja udeležencev
Večino odgovorov na vprašalnik (70 7") smo dobili i/, srednjih in velikih podjetij z več kot 100 zaposlenimi, skoraj polovica jih prihaja iz srednje velikih podjetij s 100 do 500 zaposlenimi.
Rezultati ankete kažejo zanimivo strukturo položaja udeležencev (slika 2), saj kažejo ustrezno razporeditev ključnih udeležencev obravnavane teme, in sicer jih je po ena petina i/ menedžmenta, četrtina i/ vodstva informacijsko tehnologije in tretjina izmed drugega osebja informacijske tehnologije. Taka struktura udeležencev obljublja relevantne rezultate ankete, saj ni manjkal noben ključni udeleženec upravljanja neprekinjenega poslovanja.
2,2 Stopnja upeljaue neprekinjenega poslovanja
V večini primerov (skoraj 2/3) načrt neprekinjenega poslovanja še ni pripravljen oz. se pripravlja. l'ri ostalih prevladujejo organizacije, ki so načrt pripravile, vendar ga še niso preizkusile. 1t> v 10 % primerov organizacije načrt redno preizkušajo in v prav toliko odstotkih načrt tudi redno obnavljajo.
Če pogledamo, katere organizacije in do kakšne mere imajo vpeljan načrt neprekinjenega poslovanja se po pričakovanjih izkaže (slika 3), da so to večja podjetja. V skoraj 50 % podjetjih z več kot 500 zaposlenimi je načrt neprekinjenega poslovanja že vpeljan, medtem ko je v najmanjših podjetjih z do 20 zaposlenimi le 15 % takih podjetij.
I I se redno obnavlja I I se redno preizkuša | I je narejen □ se pripravlja HI ni narejen
Slika 3: Stopnja upeljanosti neprekinjenega poslovanja glede na velikost podjetja
Pri polovici vprašanih je glavni razlog za uvedbo načrta neprekinjenega poslovanja zahteva regulative. V dobri četrtini primerov je vzrok zahteva men edini en ta in le v dobrih desetih odstotkih izkušnja zaradi izpada poslovanja ali zahteva poslovnega partnerja.
Precej siabo je stanje pri testiranju in rednem pregledu načrta neprekinjenega poslovanja. V obeh primerih ena tretjina sploh Še ni izvedla testiranja oz. pregledala načrta, tretjina to opravlja le občasno, Preostale organizacije testiranje iti pregled načrta izvajajo vsaj enkrat letno.
Zanimiva je tudi primerjava vloge posameznih ključnih udeležencev (slika 4). Vidimo, da je vloga notranje revizije ob vpeljavi načrta neprekinjenega poslovanja pomembna, nato pa se njena vloga po mnenju udeležencev ankete manjša. Na drugi strani vidimo pomembno vlogo oddelka informacijske tehnologije, ki se ji pri vpeljanih načrtih neprekinjenega poslovanja približa vloga menedžmenta. Žal je v praksi uveljavljen pristop k uvajanju neprekinjenega poslovanja, ki ga avtorji v strokovni literaturi izrecno odsvetujejo, ko gre za težave pri vpeljevanju in upravljanju načrta neprekinjenega poslovanja, Če vloga menedžmenta ni ključna v fazah vpeljave in upravljanja neprekinjenega poslovanja.
2007 - številka 1 - letnik XV
ijuoBiPni 1NFOHMA1IKA 43
Boru! Žmdar. Aleš Grozni k Upravljanje neprekinjenega poslovanja v slovenskih organizacijah
I 1 vloga Interne revizije
| vloga mgmt-a r~1 vloga it
Slika 4 Uloija ključnih udeležencev pri uvajanju neprekinjenega poslovanja
%
f I i osialo
I I z zdravstvo
1 | 3 trgovina
I I 4 javna uprava
EeD 5 gospodarska dejavnost
[~1 b storitve
7 hnaqn£na induslnja
3 Rezultati ankete
3.1 Vpeljani elementi neprekinjenega poslovanja
Pogled na vpeljane elemente neprekinjenega poslovanja {slika 5) glede na panogo kaže veliko izstopanje finančnih institucij, v katerih so vsi elementi precej enakomerno zastopani. Solidno je tudi stanje v storitveni dejavnosti/ v kateri pa že vidimo slabšo zastopanost kompleksnejših elementov (analiza vpliva kriznega dogodka - iilA, krizni menedžment). Slabše stanje je v drugih obravnavanih panogah (gospodarstvo, javna uprava in trgovina), v katerih je do neke mere prisotna le vpeljava varnostnih politik.
Izrazito slabo je stanje v zdravstvu, v katerem tako rekoč ni vpeljanih elementov neprekinjenega poslovanja. Kritični poslovni procesi zdravstva imajo tudi na ravni vse družbe posebno vlogo (npr. reševanje življenj), zato hi pričakoval podobno vlogo neprekinjenega poslovanja kot npr. v finančnih institucijah. Razlogov za tako stanje je več: morda informatika v zdravstvu ne igra zadosti pomembne vloge v ključnih procesih, morda so ključni procesi dovolj dobro pokrili z ročnimi/alternativnimi postopki, morda pa zakonodajalec ni opravil svoje vloge z uvedbo ustrezne re-gu lat i ve.
Slika 5 Upeljani elementi neprekinjenega poslovanja po panogah
V	/DA npr. za zdravstvene organizacije, zaposlene v zdravstvu in zdravstvene zavarovalnice velja zakon H1PAA. Sestavljen je iz dveh delov in v drugem delu je pet pravil, ki preprečujejo prevaro in zlorabo v zdravstvu. Neprekinjeno poslovanje ureja varnostno pravilo, ki zahteva vzpostavitev načrta aktivnosti za nepredvidene situacije in obsega tudi pripravo varnostnih kopij podatkov in izdelavo procedur za obnovo v primeru katastrofe, kar vodi k uvajanju neprekinjenega poslovanja v zd ra vs t v u.
V	panogah, kjer do uvajanja neprekinjenega poslovanja pride predvsem zaradi zahteve menedž-menta, vidimo večjo naklonjenost rešitvam visoke razpoložljivosti (nasproti rezervni lokaciji), kar je verjetno povezano z nižjimi stroški take rešitve in manjšim pritiskom regulative in zakonodaje.
3.2 Zunanji faktorji vpeljave
Če pogledamo odvisnost vpeljave posameznih elementov neprekinjenega poslovanja glede na razlog vpeljave, vidimo (slika 6), da je zahteva regulative ali zakonodaje najmočnejši faktor za vpeljavo načrta neprekinjenega poslovanja. Najmočnejši trije elemcn-
UU u p o rt * a « * INFORMATIKA
2007 - številka 1 -lelmkKV
Borut Žnidar, Aleš Groznik Upravljanje neprekinjenega poslovanja v slovenskih organizacijah
□	zahteva poslovnega partnerja
□	izkuSnja zaradi izpada poslovanja 1 I zahteva poslovodstva
I H zahleva retjulative
Slika B Upliv spodbujevalcev na vpeljauo Elementov neprekinjenega poslovanja
ti so varnostne politike, rezervna lokacija in obvladovanje tveganja, kar je verjetno posledica močne zastopanosti finančne industrije v tej skupini in vpliv dogovora Hasel 11. Ba&el II predstavlja priporočila bančnih nadzornikov in centralnih bank i/. 13 držav, ki sestavljajo baselski odbor /a nadzor bančništva. Njihov cilj je poenotenje upravljanja s tveganji v bankah in poenotenju pristopa med državami. V okviru upravljanja operativnega tveganja morajo finančne institucije zagotavljati tudi neprekinjenega poslovanja in s tem implementacijo elementov neprekinjenega poslovanja.
Naslednja pomembna ugotovitev je povezana z nizko oceno menedžmenta, kot spodbujevalca vpeljave neprekinjenega poslovanja. Če se spomnimo citata ekonomista Petra 1% Druckerja i/, uvoda, je glavna naloga organizacije postavil preživetje in vodilni princip poslovne ekonomije izogibanje izgubi, Način zagotavljanja preživetja je preprečevanje izpada poslovanja, kar se v organizacijah izvaja v okviru procesa upravljanja neprekinjenega poslovanja, i/ tega bi pričakovali bistveno večjo podporo, sodelovanje in zahtevo menedžmenta po vpeljavi neprekinjenega poslovanja v organizacijo. Žal pa je v Sloveniji povsem drugače.
Sprašujemo se, ali se menedžment sploh zaveda posledic, ki jih lahko povzroči neaktivnost na področju neprekinjenega poslovanja? Ali se menedžment zaveda tveganj, ki jim je izpostavljena njihova organizacija?
3.3 Odvisnost elementov neprekinjenega poslovanja od stopnje vpeljave neprekinjenega poslovanja
Tretji vpogled v rezultate ankete kaže na odvisnost med stopnjo vpeljave neprekinjenega poslovanja v organizacijo in vpeljanimi elementi neprekinjenega poslovanja. Številčno večji rezultat pomeni večjo odvisnost med stopnjo vpeljave in elementom neprekinjenega poslovanja; negativen rezultat. Negativni rezultat pomeni obratno odvisnost.
Opazimo (slika 7), da organizacije vpeljujejo neprekinjeno poslovanje predvsem zaradi varnostne politike. Pri organizacijah, ki tudi preizkušajo in/ali obnavljajo načrt neprekinjenega poslovanja, sta dodatno večkrat vpeljana še rezervna lokacija in obvladovanje tveganja.
Organizacije, ki se pripravljajo na vpeljavo neprekinjenega poslovanja, imajo negativno odvisnost za vse elemente, iz česar lahko sklepamo da po navadi nimajo vpeljanega še nobenega elementa neprekinjenega poslovanja. Morda je treba oznako »se pripravlja« razumeti bolj v smislu želje oz. nekakšnega srednjeročnega cilja, kot pa da se že izvaja projekt vpeljave neprekinjenega poslovanja.
%
rl		i
		1
	rr	
		-U-
obvl. BIA plan visoka NL vam. upr. krilni tveganja	obnove razpol lokacija politike varnosti mgmt.
1 se pripravlja BE se redno preizkusa | l je narojoti	m so rodno obnavlja
Slika / Odvisnost med stopnjo vpeljave in vpeljanimi elementi neprekinjenega poslovanja
?007 - številka T - letnik XV
u p o r 1 a N « INFORMATIKA A 5
Borut Žmdar, Aleš Groznih Upravljanje neprekinjenega poslovanja v slovenskih organizacijah
a Sklep
S stanjem uvajanja neprekinjenega poslovanja v Sloveniji ne moremo biti zadovoljni. Na eni strani sicer obstajajo organizacije, v katerih so že vpeljali (po navadi zaradi regulative) neprekinjeno poslovanje in se sedaj program upravlja, na drugi strani pa imamo precej podjetij, v katerih je poznavanje vsebine in problematike precej Šibko tako pri informatikih kot pri menedžmenlu. Rezultati ankete kažejo slabo stanje uvajanja neprekinjenega poslovanja v javni upravi in na katastrofalno stanje v zdravstvu.
V večini primerov je prišlo do implementacija elementov neprekinjenega poslovanja zaradi zunanjih zahtev, ki ne izvirajo iz potreb organizacij samih, marveč so posledica regulative, zunanjih pregledov ter zahtev poslovnih partnerjev. Poznavanje te tematike znotraj Slovenije je slabo, tako znotraj menedžmenla in informatikov v organizacijah, kot pri lastnikih in zakonodajalcu.
Rešitev tega stanja vidimo v izobraževanju in prenašanju znanja ter izkušenj na menedžment, informatike in stroko. Glede na njihovo pomembno vlogo v tem procesu je treba informatike izobraziti in usposobiti, da bodo prepoznali vlogo in pomen neprekinjenega poslovanja in da bodo sposobni sodelovati v celotnem procesu vpeljave in nadzorovanja neprekinjenega poslovanja.
5 Literatura
[1]	Drucker, Peter F.;
Technology. Management, and Society. New York: Harper and Row Publishers, 1972.
[2]	Fulmer Kenneth, L.:
Business Continuity Planning: A Step-by-Step Guide with Planning Forms, Third Edition. Rothstein Associates, 2005. 190 str.
[3]	Smith. D. J,:
Business Continuity Management: Good practise Guidlmes. Worchester, The Business Continuity Institute, 2002, 287 str,
[4]	Swanskon. Marianne. Wohl. Amy:
Contingency Planning Guide for Information Technology systems, Washington): National Institue of Standard and Technology {MIST), 2002, 92 str.
[5]	Toigo, Jon William:
Disaster Recovery planning: strategies for protecting critical information, Upper Saddle River: Prentice Hall, 2000, 432 str.
[6]	Verton, Dan: Disaster Recovery Planning Still Lags. Computerworld, Framingfiam, 36(2002), 14, str. 8.
[7]	Wallace, Michael, Webber, Lawrence:
The Disaster Recovery Handbook A Step-by-Step Plan to Ensure Business Continuity and Protect Vital Operations, Facilities, and Assets. Amacom, 2004. 416 str.
5.1 Uiri
[1]	Health Insurance Portability and Accountability Act (H1PAA). [URL: http://en.wikipedia.orgAwiki/HIPAA].
[2]	Basel II. [URL:http://en.wikipedia.org/wiki/BaselJI),
Btirul Žnidar je kot s vb tu valeč zb področje mlormacijiikn-komunikBciiske tehnologije zaposlen v podjet|u AvLentB.si v L|obljani Njegove delo
obsega svetovanje in načrtovanje informacijskih rešitev na p od račjo infrastrukture, varnosti in ne prek m lenega poslovala.
■
Alefi Grnrnik je docent s področja poslovne informatike, zaposlen na Ekonomski fakulteti Univerze v Ljubi|sni Področje niegovega strokovnega in raziskovalnega dela je vloga sodobnega inlormacijskega sistema v poslovnem okolju. Ukvaria se s področ|i prenove poslovanja, elektronskega poslovanja, strateškim načrtovanjem informacijskih sistemov ter revizijo informacijskih sistemov. Razi a kuje možnosti in vlogo informacijskih sistemov z vidika zagotavljanja poslovnih informacij za uspešno vodenje organizacij in je revizor informacijskih sistemov (CISA).
46 u o tt « a g n » INFORMATIKA
2007 - številka 1 - lemik XV