Da bi razumeli pomen operativne odpornosti, je treba najprej razumeti, kaj točno pomeni. Operativna odpornost je sposobnost organizacije, da prepreči motnje v delovanju, se jim prilagodi, se nanje odzove, si iz njih opomore in se iz njih uči, pri tem pa ohranja neprekinjeno poslovanje ter varuje ljudi in sredstva. Vključuje prepoznavanje bistvenih funkcij in določanje prednosti pomembnih dejavnosti za zagotavljanje njihove neprekinjenosti med večjimi motnjami.

Motnje so lahko nepredvidljive in včasih neizogibne. Nastopijo brez opozorila, zaradi česar se ne moremo hitro in ustrezno odzvati. Pomislite na pandemijo COVID-19, vojno v Ukrajini ali blokado Sueškega prekopa - vsi ti dogodki so se zgodili v nekaj letih. Hkrati se je povečalo število kibernetskih napadov na organizacije, ko so te najbolj ranljive. Organizacije, ki niso dovolj odporne, tvegajo veliko finančno škodo in škodo ugleda ter posledično izgubo strank. Vendar pa lahko organizacije s pripravo na nepredvidljive dogodke postanejo odpornejše in bolje opremljene za okrevanje po incidentih. V bistvu je operativna odpornost več kot le nova regulativna zahteva; je bistvena za preživetje in rast v današnjem poslovnem okolju.

V zadnjih nekaj letih se je še posebej pokazala potreba po operativni odpornosti. Pandemija je razkrila, da večina organizacij ni bila pripravljena na velike motnje. Trenutno različna dogajanja še povečujejo verjetnost, da se bo zgodil nov moteč dogodek. Geopolitični dogodki, naraščajoča globalna soodvisnost, odvisnost od tretjih ponudnikov in poleg tega še digitalna preobrazba, ki hitro spreminja delovne prakse in sisteme in s tem pospešuje hitrost nastajanja novih tveganj.

Organizacije pravzaprav nimajo več možnosti izbire. Morale bodo okrepiti svojo operativno odpornost. še posebej, ker regulatorji povečujejo pritisk na panoge, kot so finančne storitve, ki morajo upoštevati zakonodajo o operativni odpornosti.

digitalna preobrazba: digitalizacija prinaša hitrejše spremembe, ki povzročajo nova in hitro razvijajoča se tveganja,
pritisk predpisov: val novih in razvijajočih se zakonskih zahtev, saj vlade poostrujejo nadzor,
povečanje odvisnosti: velika odvisnost od globalnih dobavnih verig povečuje vpliv lokalnih motenj.

Kot kažejo podatki, se večje motnje pojavljajo pogosteje, kot bi pričakovali. Ti dogodki lahko privedejo do resnih operativnih motenj, ki imajo daljnosežne posledice za organizacije in njihove stranke.

• 50% bank je bilo leta 2021 tarča vsaj enega uspešnega kibernetskega napada (vir: ECB),
• 41% organizacij, ki so utrpele resen incident, pravi, da ga je povzročila tretja oseba (vir: WEF),
• 29% organizacij je poročalo, da jih je leta 2023 znatno prizadel kibernetski incident (vir: WEF)

Doseganje dolgoročne operativne odpornosti zahteva celovit pristop, ki presega tradicionalno upravljanje neprekinjenega poslovanja ali obnavljanje podatkov. Pristop združuje različne elemente odpornosti, kot so načrtovanje neprekinjenega poslovanja, obnova po nesreči in upravljanje tveganj tretjih oseb, v koheziven okvir. Izoliran pristop - kjer je vsako področje učinkovito samo zase vendar izolirano od drugih ni zadosten, saj lahko med motnjami pride do nepričakovanih interakcij med posameznimi področji.

1. Operativna odpornost je le enkraten projekt
   Obravnava operativne odpornosti kot izoliranega, enkratnega projekta vodi k razdrobljenim prizadevanjem. Upravljanje operativne odpornosti mora postati stalna, integrirana praksa v celotni organizaciji, ne pa nekaj, kar "začnete znova" z vsakim novim predpisom.
2. Že samo skladnost s predpisi zagotavlja odpornost
   Če se pri zagotavljanju skladnosti z zakonodajo zanašate le na orodja, kot je Excel, ali specializirane platforme, pogosto spregledate širšo sliko. Prava odpornost zahteva celovit pristop, ki vključuje IT, procese, ljudi, podatke, tveganja in odnose s tretjimi osebami.
3. Že neprekinjeno poslovanje je dovolj za doseganje operativne odpornosti
   Čeprav je neprekinjeno poslovanje pomembno, pa ga operativna odpornost presega, saj obravnava sposobnost preprečevanja nepredvidenih motenj, odzivanja nanje in prilagajanja nanje - ne pa le okrevanja po njih.
4. Operativna odpornost je potrebna le, če je predpisana s predpisi
   Operativna odpornost je ključnega pomena za dolgoročno preživetje in prilagodljivost vsake organizacije v vse bolj spremenljivem okolju, tudi če ni predpisana s predpisi.
5. Vsak predpis je treba obravnavati ločeno
   Ločeno reševanje predpisov vodi v neučinkovitost in tehnični dolg. Integriran pristop, ki zajema celotno organizacijo, pomaga ustvariti odpornejši operativni model, ki se lahko spopade z več izzivi.
6. Hitri popravki oz. delne rešitve naredijo organizacijo odpornejšo
   Kratkoročne „hitre“ rešitve pogosto ustvarijo tehnični dolg in omejijo dolgoročno odpornost. Potrebna je trajnostna strategija, ki pomaga vgraditi odpornost v temeljne dejavnosti organizacije.
7. Operativna odpornost je izključno tehnično vprašanje
   Operativna odpornost vključuje veliko več kot le IT. Da bi lahko ustvarili usklajen odziv na motnje, prava odpornost zahteva sodelovanje med različnimi oddelki, vključno z ljudmi, procesi in upravljanjem tveganj.
8. Silosi ne vplivajo na napore za doseganje odpornosti
   Če so informacije in viri ločeni, se je težje učinkovito odzvati na motnje. Skladen pristop med oddelki zagotavlja hitrejši in enotnejši odziv na incidente.
9. Samo finančne storitve se morajo osredotočiti na operativno odpornost
   Medtem ko se finančne storitve soočajo s strogimi predpisi, je vsaka panoga ranljiva za motnje - bodisi zaradi kibernetskih napadov, težav v dobavni verigi ali geopolitičnih dogodkov - zato je operativna odpornost pomembna za vse
10. Umetna inteligenca in digitalna preobrazba zmanjšujeta potrebo po odpornosti
    Z razvojem tehnologije se pojavljajo nova tveganja. Digitalna preobrazba in orodja umetne inteligence prinašajo nove ranljivosti, ki jih morajo organizacije predvideti in obravnavati kot del svoje strategije operativne odpornosti.

Celovit pristop k operativni odpornosti je bistvenega pomena za zagotavljanje skladnosti in vzpostavitev učinkovite zaščite pred motnjami. Za razumevanje celotne slike poslovanja je pomemben skupen pogled na poslovne in IT procese. Kombinacija orodij, kot so orodja za analiziranje poslovnih procesov, procesno rudarjenje ter upravljanje tveganj in skladnosti, zagotavlja konkurenčno prednost, saj omogoča celovit pristop, ki velja za vse sedanje in prihodnje predpise.

Procesi so v središču vašega poslovanja in povezujejo vse, kar počnete. ARIS ponuja neprimerljivo preglednost, ki vsakemu članu ekipe omogoča jasno razumevanje odnosov, soodvisnosti in vplivov. Ta preglednost je bistvena za povečanje operativne odpornosti in zagotavljanje skladnosti z zahtevami predpisov.

Učinkovit nabor orodij za operativno odpornost vključuje uravnoteženo integracijo različnih veščin, primerov uporabe in sredstev.

Tri veščine za obvladovanje operativne odpornosti

Analiziranje poslovnih procesov omogoča vpogled v poslovanje in preglednost, ki je potrebna za analiziranje procesov, ki ga podpirajo. To vam pomaga prepoznati pomembne poslovne storitve in jih narediti odporne na motnje.

Procesno rudarjenje vam na podlagi izmerjenih podatkov pomaga razumeti, kako se vaši procesi dejansko izvajajo. Tako lahko odkrijete slabosti in nedoslednosti in omogočite optimizacijo procesov.

Upravljanje tveganj in skladnosti vključuje prepoznavanje tveganj, ocenjevanje njihovega vpliva in verjetnosti ter sprejemanje ustreznih ukrepov za njihovo zmanjšanje. Da bi dosegli operativno odpornost, morate nadzorovati vsa svoja tveganja in z njimi povezana sredstva.

Šest primerov uporabe na poti do trajnostne odpornosti

Optimizacija operacij v okviru operativne odpornosti vključuje razumevanje vseh elementov, ki vplivajo na pomembne poslovne storitve. S temi spoznanji lahko izvedete testiranje scenarijev za različne vrste motenj in odpravite morebitne vrzeli. K optimizaciji operativnega modela prispevajo upravljanje tveganj in skladnosti, neprekinjeno poslovanje ter aplikacijska krajina.

Upravljanje predpisov skrbi za zagotavljanje skladnosti vaše organizacije z zakonodajo ter za obvladovanje vseh ustreznih predpisov. Povezovanje zahtev predpisov in poslovnih področij ustvarja potrebno preglednost, ki je potrebna za jasno razumevanje, kje in kako bi lahko predpisi vplivali na vaše poslovanje. Redni kontrolni preizkusi zagotavljajo, da ste skladni s predpisi in notranjimi politikami.

Upravljanje ponudnikov storitev vključuje nadzor in usklajevanje dejavnosti zunanjih ponudnikov storitev s ciljem zagotoviti izpolnjevanje zahtev in standardov organizacije. Upravljanje ponudnikov storitev je ključnega pomena za operativno odpornost, saj zagotavlja, da so storitve tretjih oseb, ki so bistvene za vašo organizacijo, zanesljive, varne in sposobne ohraniti neprekinjenost med motnjami.

Področje aplikacij se nanaša na sisteme, politike in tehnologije, ki so potrebni za zaščito poslovnih operacij pred grožnjami. Upošteva poslovno strategijo in toleranco tveganja ter zagotavlja smernice z referenčnimi arhitekturami, načrti operativnih modelov, standardnimi varnostnimi vzorci ter temeljnimi politikami in načeli za arhitekte rešitev.

Upravljanje vključuje izvajanje politik, smernic, standardov in kontrol za učinkovito upravljanje sprememb. V okviru operativne odpornosti vključuje dejavnosti, kot so dokumentiranje lastništva vseh IKT sredstev, dodeljevanje odgovornosti za vloge, povezane s tveganji, oblikovanje delovnih postopkov za vključitev procesov upravljanja tveganj v organizacijo ter uporaba politik za usmerjanje načrtovanja in upravljanja sprememb.

Neprekinjeno poslovanje je zmožnost organizacije, da nadaljuje z zagotavljanjem izdelkov ali storitev po incidentu. Vključuje predvidevanje morebitnih groženj, opredelitev kritičnih lokacij, IT sistemov, procesov, zaposlenih in zunanjih dobaviteljev načrtovanje načina ohranjanja delovanja kritičnih procesov in sistemov.

Tri sredstva ključnega pomena za odpornost vaše organizacije

Podporni procesi so delovni tokovi, ki zagotavljajo pravilno delovanje „pomembnih poslovnih storitev“ (PPS). S povezavo teh procesov na PPS lahko organizacije natančno določijo, kateri procesi so bistveni za zagotavljanje teh ključnih storitev.

Pomembne poslovne storitve so storitve, ki jih zagotavlja organizacija in ki bi lahko ob motnjah ogrozile njeno stabilnost ali celo celotno poslovanje. Primeri vključujejo obdelavo plačil, podporo strankam in kritično infrastrukturo.

Kritični viri so pomembni elementi, ki organizaciji omogočajo, da nadaljuje svoje delovanje tudi med motnjami. Ti viri so bistveni za doseganje odpornosti delovanja in vključujejo tehnologijo, ljudi, procese, objekte, informacije in tretje osebe.

Določanje strategije

1. Določanje deležnikov in ciljev
   Popolnoma razumite svoje deležnike ter ocenite vrednost in tveganja, ki jim jih prinašate; ta spoznanja so podlaga za vaše cilje.
2. Določanje pomembnih poslovnih storititev
   Določite pomembne poslovne storitve, ki so potrebne za izpolnjevanje potreb deležnikov, zlasti tiste, katerih opustitev bi negativno vplivala na deležnike.
3. Določanje tolerance vpliva
   Določite sprejemljive meje za motnje, ki vplivajo na ključne deležnike. Določite na primer sprejemljiv čas izpada za pomembne storitve kot je spletna prodaja.

Analiziranje operativnega modela

1. Določanje podpornih procesov
   Določite pod-procese, ki so vključeni v izvajanje vsake pomembne poslovne storitve.
2. Določanje kritičnih virov
   Določite kritične vire (npr. ljudi, fizična sredstva, tehnološka sredstva itd.) za vsak proces in privzeto tudi za vsako pomembno poslovno storitev.
3. Ocenjevanje stanja
   Ocenite odpornost vsakega vira v smislu njegove sposobnosti prenašanja stresa (preprečevanje) in tudi sposobnosti okrevanja po stresu (zdravljenje)

Testiranje, učenje in spremljanje (scenarijev)

1. Testiranje na podlagi scenarijev
   Določite izjemno moteče scenarije, ki bi lahko vplivali na zagotavljanje virov za ključne poslovne storitve, kot so naravne nesreče, pandemije ali socialni nemiri. Ovrednotite možne posledice in svojo zmožnost doseganja dopustnih odstopanj vpliva.
2. Učenje in izboljševanje
   Za scenarije, ki presegajo dopustne meje, ugotovite, kje je mogoče izboljšati procese, da bodo bolj odporni, pri čemer se osredotočite na preprečevanje in robustnost pred zdravljenjem.
3. Spremljanje in poročanje
   Uporabite najnovejše tehnologije, kot so procesno rudarjenje, avtomatizacije ali nadzorne plošče, za neprekinjeno spremljanje delovanja. Če je to koristno in mogoče, uporabite avtomatizacijo za odkrivanje in dokumentiranje težav, incidentov, kontrol ali testov.

ARIS platforma ponuja orodja za poglobljeno analizo procesov in operacij, s katerimi lahko prepoznate področja za izboljšave in sprejemate hitre in utemeljene odločitve. Z analizo poslovnih procesov in procesnim rudarjenjem pridobite neprecenljive vpoglede za testiranje scenarijev, medtem ko upravljanje tveganj in skladnosti zagotavlja skladnost s predpisanimi zahtevami. Integrirana rešitev vam omogoča 360-stopinjski vpogled v upravljanje operativne odpornosti in podpira dolgoročni uspeh vaše organizacije.