O Ian Thomson, ιδρυτής και σύμβουλος της Resilience Consulting και ο John Matthews, ανεξάρτητος Σύμβουλος και ειδικός σε θέματα Οργανωσιακής Ανθεκτικότητας, αποκαλύπτουν τα μυστικά για ένα σωστό Βusiness Continuity Management.

netweek: Στις 18 Φεβρουαρίου. πραγματοποιείται στην Αθήνα το πρώτο συνέδριο για το Business Continuity Management (BCM), στο οποίο θα συμμετέχετε ως κύριοι ομιλητές .Εξηγείστε μας τι είναι το BCM με λίγα λόγια.

Ian Thomson: Το Business Continuity (BC) είναι ένα σύστημα που βοηθάει την επιχείρηση να ανακαλύψει τι χρειάζεται για να επιβιώσει μετά από ένα απρόοπτο συμβάν. Γεγονότα πάντα θα συμβαίνουν, όμως πρέπει να μπορούμε να διαμορφώσουμε τις απαραίτητες συνθήκες, ώστε οι πιο κρίσιμες λειτουργίες του οργανισμού να «αντέξουν» και να συνεχίσουν να λειτουργούν ή τουλάχιστον να επαναλειτουργήσουν μέσα σε πολύ λίγο διάστημα.

John Matthews: Ενας από τους καλύτερους ορισμούς του Business Continuity που έχω ακούσει είναι ο εξής: Το BC είναι αυτό που σε στηρίζει, όταν θέλεις να διορθώσεις καταστάσεις. Δεν αφορά κατάσταση “business as usual”. Αν κάτι πάει στραβά, πού θα πρέπει να βασισθούμε για να το διορθώσουμε; Αυτό ακριβώς είναι που κάνει το BC με απλά λόγια. Το BC σου «αγοράζει» το χρόνο που θα χρειαζόσουν για να επανέλθεις εκεί που ήσουν πριν το συμβάν.

netweek: Tι σημαίνει η ολιστική προσέγγιση του BCM;

Ian Thomson: Mε το BCM μπορούμε να αποκτήσουμε πλήρη και σε βάθος γνώση και κατανόηση της επιχείρησης, δηλαδή ποιες είναι οι πιο σημαντικές λειτουργίες της, ποιες είναι οι προτεραιότητές της και πού πρέπει να επικεντρωθούμε. Ταυτόχρονα, όμως, πρέπει στην προσέγγισή μας να είμαστε ρεαλιστές και πρακτικοί. Ακόμη και όταν μια επιχείρηση διαπιστώσει ότι έχει τρωτά σημεία, δεν είναι δυνατόν να τα διορθώσει όλα και αμέσως.

Αποδεχόμενη, όμως, τα ρίσκα, η επιχείρηση μπορεί σταδιακά να τα αντιμετωπίσει. Το BCM είναι ένα πρόγραμμα ή καλύτερα ένα σύστημα διοίκησης που το εφαρμόζεις, το δοκιμάζεις, το ενσωματώνεις στον οργανισμό και το φτάνεις στο επίπεδο που εσύ θέλεις. Το σύστημα καθεαυτό δεν αποτελεί μια λύση τύπου «όλα σε ένα», καθώς διαφορετικές εταιρείες έχουν διαφορετικές απαιτήσεις και προτεραιότητες. Αυτό που έχει σημασία είναι ότι, σε περίπτωση σοβαρού γεγονότος, πρέπει να είμαστε σίγουροι ότι θα μπορέσουμε να ανακτήσουμε τον έλεγχο της κατάστασης.

Μάλιστα, το πιο σημαντικό για μια εταιρεία είναι να φαίνεται στον έξω κόσμο ότι τα έχει όλα υπό έλεγχο και ότι μπορεί να παρέχει αξιόπιστες πληροφορίες. Αν δείτε τα στατιστικά των επιχειρήσεων που έκλεισαν θα διαπιστώσετε ότι οι περισσότερες από αυτές δεν είχαν τα κατάλληλα πλάνα ανάκτησης των λειτουργιών τους, μετά από έκτακτες καταστάσεις. Αλλά, ακόμα και αν είχαν τέτοια πλάνα, αυτά, είτε δεν ήταν σωστά είτε δεν πέτυχαν. Αυτό δεν αποτελεί τακτική εκφοβισμού, αλλά μια πραγματικότητα που μας λέει ότι αν δεν έχεις τα κατάλληλα πλάνα τότε είτε η ρυθμιστική αρχή θα σε κλείσει, είτε θα χάσεις μερίδια αγοράς, είτε ο ανταγωνιστής θα σου πάρει τα πιο ικανά στελέχη σου.

netweek: Μπορείτε να μας δώσετε κάποια πρακτικά παραδείγματα του ΒC;

Ian Thomson: Ενα καλό παράδειγμα είναι αυτό της τράπεζας, με ένα call center 500 θέσεων εργασίας. Ποια ήταν στην προκειμένη περίπτωση η πιο σημαντική λειτουργία; H διαδικασία της πιστοποίησης των συναλλαγών, για την οποία ήταν υπεύθυνη μια ομάδα έξι ατόμων. Εμείς φροντίσαμε, στο έργο BC που εφαρμόσαμε εκεί, να διασφαλίσουμε μια διαδικασία γι΄ αυτή την ομάδα, η οποία ήταν εντελώς ανεξάρτητη του κτιρίου και που μπορούσε να εφαρμοστεί άμεσα ανά πάσα στιγμή, όποτε υπήρχε ανάγκη. Πρόκειται για κάτι που δοκιμάστηκε αρκετές φορές στην πράξη με επιτυχία.

netweek: Αρκετές εταιρείες ισχυρίζονται ότι δεν τους πειράζει να αναλαμβάνουν το ρίσκο ενός συμβάντος, καθώς πιστεύουν ότι θα αποζημιωθούν για οτιδήποτε πάθουν από τις ασφαλιστικές εταιρείες. Ποια είναι η άποψη σας γι’ αυτό;

John Matthews: To θέμα δεν είναι τόσο απλό όσο φαίνεται. Ας πάρουμε το παράδειγμα ενός σταθμού παραγωγής ηλεκτρικής ενέργειας. Αν υπάρχει μόνο ένας σταθμός και σταματήσει τότε τι θα γίνει; Ακόμα και αν υπάρξει αποζημίωση από την ασφαλιστική εταιρεία πώς θα καλυφθούν οι υποχρεώσεις, οι πελάτες, τα πράγματα που πρέπει να γίνουν; Εντάξει, μπορεί ο σταθμός να λειτουργήσει μέσα σε λίγες εβδομάδες, αλλά τότε δεν θα υπάρχει εταιρεία, δεν θα υπάρχουν πελάτες. Μια λύση στην προκειμένη περίπτωση θα ήταν να αγοράσεις ή να νοικιάσεις ισχύ μέχρι να επαναλειτουργήσει ο σταθμός.

Αυτό είναι το ένα θέμα. Το άλλο είναι να υπάρχει ένα σχέδιο απλό, εύχρηστο και σύντομο που μπορεί να με καθοδηγεί «όταν συμβεί αυτό», τι να πω στους πελάτες μου, τι επικοινωνία πρέπει να υπάρχει με αυτούς, τι να πω στους ελεγκτές μου και στην εθνική υπηρεσία ηλεκτρικής ενέργειας, ώστε, όταν επανέλθει σε λειτουργία ο σταθμός, να είμαι ακόμα εκεί και να συζητώ μαζί τους. Το όλο θέμα, λοιπόν, έχει να κάνει με το πώς μπορείς να κρατήσεις τους πελάτες σου μετά από ένα απρόοπτο γεγονός, κάτι που δεν καλύπτεται από την ασφαλιστική εταιρεία.

netweek: Ποιες είναι οι σημαντικότερες απειλές για το σημερινό επιχειρηματικό περιβάλλον και πώς μπορεί το BCM να βοηθήσει τις εταιρείες ώστε να γίνουν περισσότερο ανθεκτικές;

Ian Thomson: Αυτό εξαρτάται ουσιαστικά από την εκάστοτε επιχείρηση, τη θέση που βρίσκεται, τα τρωτά σημεία που έχει, από την κατανόηση των ρίσκων που υπάρχουν.

John Matthews: Μια από τις μεγαλύτερες πηγές ρίσκου είναι η αλλαγή. Είναι αυτό που βιώνει η ελληνική κοινωνία σήμερα, όπου η αλλαγή καθοδηγείται από την οικονομική πραγματικότητα. Οταν οι επιχειρήσεις νιώθουν ότι απειλούνται περισσότερο, τότε έχουν όλο και πιο έντονα την ανάγκη να προστατευτούν, να εφαρμόσουν ένα πλάνο επιχειρησιακής συνέχειας. Το σημείο στο οποίο κολλάνε, αυτό που εμποδίζει τις εταιρείες να το υλοποιήσουν, είναι η άποψή τους ότι το Business Continuity Management είναι πολύπλοκο, ότι χρειάζεται πολύ δουλειά και είναι πολύ ακριβό και ότι δεν μπορούν να μετρηθούν τα οφέλη του. Κάτι που, φυσικά, είναι παντελώς λάθος. Το BCM είναι κοινός νους.

netweek: Ποια είναι η διαφορά μεταξύ BCM, Contingency Planning και Disaster Recovery (DR);

Ian Thomson: To DR σημαίνει απλά «Παθαίνω την καταστροφή, είμαι εκτός λειτουργίας και μετά ανακάμπτω». Μα αυτό θέλουμε σήμερα; Δεν θα έπρεπε πολύ περισσότερο να προσπαθήσουμε να βρούμε έξυπνους και πρακτικούς τρόπους για να μειώσουμε τον κίνδυνο και την πιθανότητα να συμβεί κάτι, πριν αυτό συμβεί; Επίσης, όταν κάνεις εκτίμηση των κινδύνων πρέπει να επικεντρωθείς να κοιτάς για συγκεκριμένα πράγματα και συγκεκριμένες καταστάσεις. Οφείλεις να είσαι πολύ προσεκτικός όσον αφορά τις διαφορές ανάμεσα στο BC, στο τεχνικής φύσεως Disaster Recovery και στο Contingency Planning. To τελευταίο σου λέει τι θα κάνεις αν, για παράδειγμα, γίνει μια απεργία. Αν ξέρεις ότι θα γίνει απεργία, τότε είναι απλά θέμα διαχείρισης ρίσκου για το αν έχεις ένα πλάνο γι’ αυτό ή όχι. Αντίθετά στο BC δεν έχεις απολύτως καμία ιδέα για το τι πρόκειται να συμβεί.


netweek: Πώς μπορεί μια εταιρεία να επιτύχει την λεγόμενη «ανθεκτικότητα»; Θα μπορούσε να μιλάει κανείς για «ανθεκτικές» επιχειρήσεις; Πώς θα περιγράφατε αυτές τις επιχειρήσεις και ποια είναι τα βήματα που πρέπει να γίνουν για να επιτευχθεί αυτό;

Ian Thomson: Για να μπορέσει μια επιχείρηση να γίνει ανθεκτική χρειάζεται χρόνος. Μπορείς να εισάγεις, σταδιακά, στοιχεία ανθεκτικότητας, όμως στην ουσία μια επιχείρηση μπορεί να το πετύχει εφόσον το senior management πιστέψει στην αξία της και ενσωματώσει σιγά-σιγά την ανάγκη για ανθεκτικότητα στην καθημερινότητα του ίδιου του οργανισμού. Δηλαδή, πρέπει να γίνει βίωμα και τρόπος σκέψης των εργαζόμενων.

netweek: Με βάση την εμπειρία σας, θα μπορούσατε να μας δώσετε ένα παράδειγμα για το πώς το BCM βοήθησε στην πράξη;

Ian Thomson: Υπάρχουν πολλά παραδείγματα, όπου το BCM μπόρεσε να σώσει την παρτίδα. Από την άλλη υπάρχουν εταιρείες, όπως οι PanAM και η Enron, που δεν είχαν προγράμματα BCM και απέτυχαν. Το πρόβλημα με την Enron, ωστόσο, ήταν ότι είχε μια σάπια κουλτούρα και όταν εκτέθηκε στον κίνδυνο έχασε το σεβασμό, με αποτέλεσμα να μην την εμπιστεύεται κανείς.

John Matthews: Η ανθεκτικότητα είναι κυρίως θέμα κουλτούρας. Μέρος αυτού είναι να διασφαλίζουμε ότι αυτό που κάνουμε δεν αυξάνει τα ρίσκα ή τον κίνδυνο για τον οργανισμό. H Enron εσκεμμένα ακολούθησε ένα δρόμο, ο οποίος αύξησε το ρίσκο του οργανισμού. Αυτό σημαίνει ότι δεν έχουμε να κάνουμε με έναν ανθεκτικό οργανισμό. Αν η Enron ήταν ένας ανθεκτικός οργανισμός θα είχαν κάνει τα πράγματα όπως τα έκαναν; Σίγουρα όχι. Προέβησαν σε τεράστιες λανθασμένες αποφάσεις, βασιζόμενοι σε μια απίστευτα κακή εταιρική κουλτούρα.

netweek: Πώς βλέπετε το μέλλον του BCM, στην υπόλοιπη Ευρώπη, αλλά και στην Ελλάδα;

Ian Thomson: H Ευρώπη ενδιαφέρεται για το BCM. Αυτό που βλέπουμε είναι ότι οργανισμοί διαφορετικού τομέα δραστηριοτήτων κατανοούν ότι με το BCM αποκτούν ένα ανταγωνιστικό πλεονέκτημα και ότι μπορούν να μειώσουν τα ρίσκα τους, υιοθετώντας τις κατάλληλες διαδικασίες. Η Ελλάδα αποτελεί μεγαλύτερη πρόκληση, καθώς ο κόσμος έχει συνηθίσει περισσότερο να αναλαμβάνει ρίσκα και να επιλύει επιτόπου τα προβλήματα, όταν δηλαδή εμφανιστούν.

netweek: Πόσο δύσκολο είναι για μια ελληνική επιχείρηση να εφαρμόσει Business Contunuity Management (BCM);

Ian Thomson: Πιστεύω ότι είναι θέμα νοοτροπίας. Πάρτε, για παράδειγμα, έναν Ελληνα κι ένα Γερμανό. Ακόμα και αν τους δώσεις το ίδιο project, ο Γερμανός θα αρχίσει να ασχολείται αμέσως. Θα κάνει τον σχεδιασμό του project, θα δημιουργήσει τα βήματα για τη συνολική πορεία του project και θα τα ακολουθήσει πιστά. Και αν ο αρχικός σχεδιασμός δεν ήταν αρκετά σωστός και προκύψει κάποιο πρόβλημα, θα το αναλύσει και μετά θα το διορθώσει. Ο Ελληνας θα ξεκινήσει, κάποια στιγμή, να κάνει το σχεδιασμό και όταν δει ένα πρόβλημα θα επιχειρήσει να το αντιμετωπίσει όπως μπορεί και θα συνεχίσει το project. Εχουμε να κάνουμε δηλαδή με μια εντελώς διαφορετική νοοτροπία.

Ωστόσο, δεν μπορείς να κάνεις Γερμανούς τους Ελληνες. Βέβαια, τα τελευταία 5-10 χρόνια οι Ελληνες καλούνται να διαχειριστούν επιτόπου δύσκολα περιστατικά – πλημμύρες, ταραχές, φωτιές, οικονομική κρίση – και είναι πολύ ευπροσάρμοστοι και πολύ συνηθισμένοι στην επίλυση προβλημάτων. Επειδή, λοιπόν, έχουν συνηθίσει να το κάνουν αυτό, αισθάνονται ότι μπορούν να διαχειριστούν επιτόπου ό,τι πρόβλημα παρουσιαστεί. Ωστόσο, τα πράγματα δεν είναι έτσι.

netweek: Τι θα έπρεπε να πει κάποιος στους εργαζόμενους για να τους πείσει να αρχίσουν να βλέπουν σοβαρά το Business Continuity;

Ian Thomson: Οτι αφορά την ίδια τη ασφάλειά τους, το παρόν και το μέλλον τους στην επιχείρηση. Ποιος θα ήθελε να δει την εταιρεία του να κλείνει και να μείνει χωρίς δουλειά, ειδικά σήμερα; netweek: Εχει ακουστεί ο ισχυρισμός ότι το BC εφαρμόζεται απλά για να ικανοποιηθούν οι μέτοχοι και ότι έχει νόημα μόνο για τις μεγάλες επιχειρήσεις. Ποια είναι η άποψή σας για αυτό;

John Matthews: Καταρχάς τα ενδιαφερόμενα μέρη δεν είναι μόνο οι μέτοχοι, αλλά οι πελάτες, οι προμηθευτές, οι ελεγκτές, οι συνδεμένες με την επιχείρησή σας εταιρείες, όπως και εταιρείες που σας παρέχουν υπηρεσίες. Ο οποιοσδήποτε κάνει δουλειές με μια εταιρεία, από όποια πλευρά και να βρίσκεται, είναι ένα ενδιαφερόμενο μέρος και συνεπώς το BCM τον αφορά. Οσον αφορά, δε, το μέγεθος της εταιρείας, πρέπει να επισημάνουμε ότι μια μικρή εταιρεία βρίσκεται σε πολύ μεγαλύτερο κίνδυνο από μια μεγαλύτερη, καθώς, γενικά, διαθέτει μικρότερη ανθεκτικότητα, λαμβάνοντας υπόψη ότι μπορεί να έχει με μεγαλύτερη πιθανότητα ένα και μοναδικό χώρο δραστηριοποίησης, (υπολογιστές, προσωπικό, αποθήκες).

Αυτό σημαίνει ότι οι μικρές εταιρείες αποτελούν ένα άμεσο “Single Point of Failure” και είναι πιο πιθανό να διαθέτουν μικρότερη αντοχή στη διακοπή των επιχειρηματικών δραστηριοτήτων τους, σε αντίθεση με τις μεγάλες εταιρείες, οι οποίες μπορεί να διαθέτουν επαρκείς ρεζέρβες (οικονομικές, ασφαλιστικές ή απόθεμα) για να επιβιώσουν. Αν ένα μικρό κατάστημα καεί, τότε καταστρέφεται. Αν ένας μεγάλος οργανισμός, χάσει ένα σημείο πώλησης, τότε απλά έχει ένα κατάστημα λιγότερο. Αυτό μπορεί να δημιουργήσει κάποιο πρόβλημα, αλλά δεν σημαίνει και το τέλος του κόσμου. Το BC, λοιπόν, είναι απαραίτητο και σημαντικό και για τις μικρομεσαίες επιχειρήσεις.

Ian Thomson
Με παρουσία πέραν των 30 ετών στο χώρο της Πληροφορικής και του Business, o Ian Thomson θεωρείται ένας από τους πιο σημαντικούς επαγγελματίες στο χώρο του Business Continuity Management και της διαχείρισης κρίσεων, έχοντας επιδείξει πλούσια πρακτική εμπειρία. Eίναι ιδρυτής και Διευθύνων Σύμβουλος της Resilience Consulting (Ηνωμένο Βασίλειο) από το 2009, εταιρείας Συμβούλων παροχής υπηρεσιών Business Continuity και Διαχείρισης Κρίσεων. Από το 1999 είναι μέλος του Business Continuity Institute (BCI) και ένας από τους πρώτους πιστοποιημένους εκπαιδευτές BCM από το BCI. Aπό το 2010 είναι πιστοποιημένος Risk Practitioner. Έχει παράσχει υπηρεσίες για λογαριασμό της Βρετανικής Κυβέρνησης σε μια σειρά έργων καθώς επίσης και σε φορείς της Τοπικής Αυτοδιοίκησης στο Ηνωμένο Βασίλειο.

John Matthews
Ανεξάρτητος Σύμβουλος επιχειρήσεων με 20ετή εμπειρία στον τομέα της Οργανωτικής Ανθεκτικότητας (Organisational Resilience). Διαθέτει βαθειά γνώση, εξειδίκευση και εμπειρία σε good practice standards και απαιτήσεις οργανισμών του Δημοσίου και Ιδιωτικού Τομέα αναφορικά με Διαχείριση Κρίσεων, Επιχειρησιακή Συνέχεια και Ασφάλεια Πληροφοριών (συμπεριλαμβανομένων των διεθνών προτύπων ISO22301, ISO27031, ISO27001, Civil Contingencies Act, Corporate Governance κλπ.). Είναι μέλος του Business Continuity Institute (UK) BSI trained και lead auditor για το ISO27001. Συνεργάζεται με την Resilience Consulting, εταιρεία παροχής υπηρεσιών Business Continuity Management και Διαχείρισης Κρίσεων στους τομείς Crisis Management, Business & ICT Continuity and Information Security.