Deset způsobů, jak posílit odolnost firmy

Rozeznáváme 10 samostatných kroků, které mohou firmy okamžitě podniknout, aby lépe dosáhly provozní odolnosti.

Odolnost a její dopad na podnik se v posledních dvou letech dostaly na pořad jednání správních rad v oblasti finančních služeb. Představenstva a vrcholový management se nyní silně zaměřují na snižování pravděpodobnosti a dopadu narušení podnikání a na to, jak poskytovat služby nepřetržitě, když k takovým narušením dojde. Chtějí také vědět, že jejich firmy podporují kulturu učení, takže plány týkající se odolnosti se zlepšují poté, kdy téměř či skutečně došlo k mimořádným událostem. Regulační orgány se také více zaměřily na odolnost a schopnost podniků poskytovat nepřetržité obchodní služby, protože zákazníci tuto úroveň pohodlí požadují.

Dosáhnout vyšší odolnosti je komplikované. Vyžaduje to, aby mnoho skupin napříč každou firmou – většinou s odlišnými prioritami a odlišnými liniemi vykazování – fungovalo jinak a soudržněji než v minulosti a aby tak bylo učiněno prioritním, integrovaným a koordinovaným způsobem. Složité struktury právnických subjektů, provozní model a technologické prostředí firem mohou tuto výzvu ještě zhoršit.

Využíváme dialogu s účastníky z odvětví a poukazujeme na 10 důležitých způsobů, jak mohou společnosti poskytující finanční služby účinně, efektivně a rychle zvýšit odolnost celé společnosti:

2. Přijměte společný jazyk odolnosti

Firmy za poslední desetiletí investovaly mnoho času do vybudování společného firemního jazyka nebo taxonomie. Dosud toho jen málokdo plně dosáhl. Většina z nich má sady taxonomií, z nichž každá byla vyvinuta pro konkrétní případ použití: jedna pro procesy periodického vyhodnocování rizika a kontroly (RCSA), jedna pro provozní riziko, jedna pro RRP, jedna pro třetí strany atd. Společnou výzvou při rozvoji celofiremní taxonomie je propojení s vlastnictvím podniků. Snahy o taxonomii jsou příliš často vnímány tak, jako by byly prováděné pro první linii, nikoli první linií; první linie na toto nahlíží jako na něco, co kontrolní skupiny musí dokončit, aby zrealizovaly svou práci, a stěžuje si na to, že je to psáno v kontrolním jazyce. Jen málo lídrů v první linii považuje takové taxonomie za nezbytné k zajištění provozní odolnosti a myslí si, že jsou napsány takovým způsobem, že první linie popíše, co dělá a jak funguje.

3. Identifikujte a řiďte závislosti a jednotlivé body selhání a koncentrace uvnitř i vně firmy

Samotné mapování vás zavede daleko. Nejde jen o pochopení toho, jak funguje proces nebo proudí data, ale též o to, že je důležité identifikovat kritická místa nebo oblasti koncentrace (např. klíčové operace nebo umístění firmy). Ty by mohly zahrnovat IT nebo procesy, které podporují jeden nebo více kritických kroků k poskytování služby, klíčovou upstream nebo downstream závislost (tj. něco před nebo po konkrétním procesu, bez čehož je služba přerušena), a dokonce i klíčoví odborníci na danou oblast.

4. Stanovte celofiremní strategii odolnosti a provozní model

Firmy si stále více uvědomují, že jejich činnosti v oblasti kontinuity a odolnosti jsou nesourodé a navzájem nesouvisející. Často podnikají nespočet aktivit v oblasti kontinuity podnikání, obnovy po katastrofách, reakce na kybernetické hrozby a řešení krizí. Často existují nesčetné krizové a pohotovostní plány napříč různými odvětvími podnikání, technologiemi, lidskými zdroji a dalšími oblastmi. Jen málo plánů je propojeno nebo aplikováno konzistentně; málo plánů má společné nebo konzistentní spouštěcí mechanismy eskalace a rozhodování; a jen málo společností řádně připravilo své vedoucí pracovníky a/nebo správní rady na skutečné krize. Výsledkem je často neefektivní, chybné nebo pomalé rozhodování v době napětí.

5.   Podporujte prevenci

I když se pozornost rychle zaměřila na odezvu a zotavení, stále je potřeba se ve zvýšené míře soustředit na prevenci, aby se snížila pravděpodobnost výskytu narušení a jejich potenciální dopad. Strategie zde zahrnují:

• segmentaci kritických systémů, včetně sítí a systémů, a omezení bodů útoku a vstupu,
• posílení přístupových práv přehodnocením přístupových výhod, např. když jednotlivci mění role, včetně rolí třetích stran (zejména platforem hostovaných klienty),
• řešení zastaralosti IT za účelem snížení závislosti na redundantních systémech a ověřování toho, že zastaralost IT nevytváří zranitelnost kritických procesů,
• efektivní řízení změn s cílem snížit pravděpodobnost, že nesprávně provedená, špatně zkontrolovaná nebo chybně načasovaná změna IT nebo procesu způsobí narušení,
• implementace odolnosti prostřednictvím návrhu – versus odolnost pomocí nápravy – s cílem umožnit dodržování principů odolnosti již od počátku navrhování nových systémů nebo procesů.

9. Stimulujte svalovou paměť lídrů pomocí simulace

Firmy zvyšují míru, do jaké používají procvičování praktických situací nebo simulace k budování zkušeností – nebo svalové paměti – mezi vedoucími pracovníky a členy správní rady, napříč odvětvími a před skutečnými událostmi nebo krizemi. Tradičně se takové snahy zaměřují na střední management, na ty, kteří budou každodenně řešit mimořádné události nebo krize. Firmy si však stále více uvědomují rozsah, četnost a potenciální dopady narušení, které vyžadují další zaměření na rozhodování vyvolané krizí – koneckonců v extrémních krizích musí správní rady a vrcholový management znát svou roli v rozhodovacím procesu a zvyknout si na krizové situace, bez ohledu na spouštěcí událost nebo její typ. Klidný a rozhodující tón shora během krize buduje důvěru u všech zúčastněných stran a hráčů.

10. Podporujte odolnou kulturu zaměřenou na učení

Poskytování odolnosti je součástí zdravého obchodního smýšlení. Jak se firmy digitálně transformují z front office na back office a snaží se zde být pro zákazníky 24 hodin denně a 7 dní v týdnu, je dosažení provozní odolnosti klíčem k dlouhodobému úspěchu a konkurenceschopnosti každé firmy a každého odvětví.