Tři čtvrtiny firem neví, jak postupovat v nouzi
Pouze 22 % firem hodnotí svůj plán obnovy podnikání jako velmi účinný.
Mnohé české firmy nemají krizový scénář, jak zajistit svoje fungování v případě výskytu nepředvídatelné nouzové události. „Minimálně u 75 % firem není zpracován žádný krizový plán, který by udržel chod podniku v případě nouze,“ řekl Martin Rus, expert na problematiku kontinuity podnikání technologické společnosti S&T CZ. Z analýzy společnosti S&T CZ navíc vyplývá, že funkční, to znamená zdokumentovaný a testem prověřený nouzový scénář má méně než 5 procent společností. K podobným závěrům dospěl i průzkum společnosti Ernst&Young, Národního bezpečnostního úřadu a magazínu DSM – data security management, viz infobox.
„Připraveny jsou často jen ty organizace, ve kterých i malý výpadek může způsobit nezměrné finanční ztráty či ohrožení lidských životů. Například dodavatelé energií, nemocnice, letecké dispečinky, banky či třeba velké internetové obchody,“ vysvětlil Martin Rus. Na prvním místě v krizových scénářích stojí ochrana života, ale hned v závěsu je zachování funkčnosti informačních systémů, na kterých provoz dané firmy nejvíce závisí.
I když IT systémy nemusí představovat nejhodnotnější součást firemního majetku, jejich výpadek může společnost přijít velmi draho: „Přímo podporují obchodní výkon společnosti a většinou jsou v nich uloženy informace kritické hodnoty,“ vysvětlil Rus.
Před riziky spojenými s absencí krizového scénáře varuje také David Kesl, senior manažer společnosti Ernst&Young: „Většina společností v Česku žije v mylné představě, že na ochranu před nenadálými událostmi ohrožujícími jejich podnikání jim stačí uzavřít pojištění s dostatečně vysokým krytím pojistného rizika. Neuvědomují si však, že i jen několikadenní přerušení jejich činnosti může způsobit nevratné škody. Nejde jen o finanční ztráty, často mnohem horší je ztráta zákazníků a dobré pověsti.“
Tuzemské firmy často čekají, až katastrofa přijde
Nejvíce jsou ohroženy firmy s vysokou mírou automatizace či závislosti na informačních technologiích. Vedle bank a zdravotnictví podle analýzy společnosti S&T CZ největší riziko podstupují zejména výrobní firmy a obecně všechny společnosti, u nichž není možné tolerovat zpoždění v dodávce zboží nebo služeb. „Ohroženy jsou nejen velké firmy, jako třeba banky, ale v podstatě každá firma, jejíž provoz hodně závisí na informačních systémech,“ dodal Rus.
Bez informačních technologií totiž může většina společností fungovat jen po velmi omezenou dobu. „Pak se takové firmy začnou hroutit, což může vést ke ztrátě dobré pověsti, provozním ztrátám, případně i k bankrotu. Třeba firma podnikající na internetu se již po několikahodinovém výpadku stává v očích zákazníků nedůvěryhodnou. Konkurenční firmy přitom nabídnou obdobné služby jen pár on-line odkazů dále,“ varoval Martin Rus.
Nouzový scénář může nastartovat i banální událost. A nemusí jít zrovna o živelní pohromu či krádež. „Firmu může paralyzovat třeba překopnutý komunikační kabel či prasklá vodovodní trubka, která zatopí místnost s firemními servery,“ řekl Martin Rus (viz infobox).
Poptávka po řešeních krizových scénářů se meziročně zdvojnásobuje Přes tristní situaci v oblasti odhadu rizik zájem o systémy zajišťující kontinuitu provozu firmy a o krizové manuály roste. „Během posledních pěti let se počet zakázek každoročně zdvojnásobuje,“ dodal Martin Rus. Největší poptávku po systémech zajišťujících kontinuitu zaznamenává společnost S&T CZ při globálních živelních pohromách, například po povodních.
Řešení proto firmy většinou implementují až po prožité krizové události. „Manažeři si do té doby odmítají spočítat, kolik by je výpadek provozu mohl stát. Kolikrát se po úvodní analýze odhadu rizik zhrozí, že třeba jednodenní výpadek by je mohl stát milion korun a po třech dnech by byli na hranici bankrotu,“ řekl Martin Rus. Náklady na zajištění plynulého provozu přitom vždy představují pouze zlomek částky, kterou by společnost musela vydat na řešení krizové události.
Výrazný růst poptávky po implementaci plánů kontinuity podnikání po každé větší živelní pohromě potvrzuje také společnost Ernst&Young: „Obvykle až v této situaci totiž lidé ve vedení společností zjišťují, že výplata pojistného plnění za vzniklé škody jim sama o sobě obnovení činnosti nezajistí, o ztracené důvěře zákazníků nemluvě. Navíc pojistné plnění obvykle přijde až dlouho po odeznění kritické situace.“ Teprve tvrdé zkušenosti s dopady přerušení činnosti společnosti přimějí jejich vedení ke skutečnému zavedení funkčních plánů kontinuity podnikání, vyplývá ze zkušeností Ernst&Young.
Až polovina firem vytvořený nouzový plán neaktualizuje a pravidelně netestuje
Před riziky je možné se účinně bránit vypracováním scénáře popisujícího zajištění chodu firmy ve stavu nouze – takzvaného Business Continuity plánu. Ten podrobně řeší, co se má udělat, když třeba dojde k výpadku elektrického proudu či jiné krizové události. „Je nutné rozlišovat pravděpodobnost rizika a jeho dopad. Pokud se z detailní analýzy zjistí, že i méně pravděpodobné riziko je pro firmu neúnosné, musí se vypracovat alternativní opatření,“ vysvětlil Martin Rus. Příkladem může být duplikování informačních systémů, kdy v případě výpadku jednoho řídící roli ihned přebírá záložní, který je umístěn v jiné lokalitě.
Avšak ani existence nouzového plánu není zárukou, že firma projde krizí hladce. Navržené řešení si podle průzkumu S&T CZ zhruba tři čtvrtiny firem nikdy nevyzkouší anebo pravidelně neaktualizuje. (K podobným závěrům došel i průzkum Ernst&Young, viz infobox.) Již po nějakém čase může vzniknout ve scénáři řada trhlin. „Stačí třeba, aby někdo u dveří do místnosti se záložními generátory energie vyměnil zámek. Jen pravidelné kontroly mohou slabá místa odhalit,“ řekl Martin Rus. „Kvalitní funkční plány jsou samozřejmě základ, neméně důležité je však i vyškolení jednotlivých pracovníků, aby ve stresu v kritické situaci přesně věděli, co mají dělat,“ dodal David Kesl.
Krizové scénáře často končí v šuplíku manažerů i z prozaičtějších důvodů: jsou vypracovány pouze kvůli formálnímu splnění požadavků auditorů. Bez nouzového plánu by totiž žádná firma neprošla bezpečnostním auditem. „Plán postrádá svůj smysl, pokud si jej firma ani jednou nevyzkouší. Je to téměř stejné, jako by neexistoval,“ řekl Martin Rus, bezpečnostní expert technologické společnosti S&T CZ.
Příprava funkčních plánů kontinuity podnikání je obtížná a vyžaduje výraznou podporu vedení společnosti, vyplývá i ze zkušeností konzultantů Ernst&Young. „Nicméně se potvrzuje, že motto, ‚Těžko na cvičišti, lehko na bojišti‘ je pravdivé. Ukazuje se, že je velice obtížné vypracovat pro nouzové situace hned napoprvé plány, které by byly zcela bez chyb. Pouze detailní a pravidelné testování umožní plány prověřit a doladit,“ řekl David Kesl.