6 min. de citit 12 mar. 2020
Skydiving în tandem pe o plajă în Spania

Zece modalități în care se poate crește reziliența la nivelul întregii companii

COVID-19 ne amintește tuturor de necesitatea rezilienței companiei în fața unei game largi de potențiale perturbări ale activității. Iată ce pot face companiile de servicii financiare pentru a răspunde și a se pregăti.

Reziliența companiilor a fost prezentă în mod constant pe ordinea de zi în consiliile de administrație ale companiilor din domeniul serviciilor financiare în ultimii ani, dar niciodată la un nivel critic ca în momentul de față. Răspândirea globală a pandemiei de coronavirus, precum și impactul său din ce în ce mai mare asupra economiei globale au reamintit membrilor consiliilor de administrație cât de necesar este ca organizațiile să fie pregătite pentru neprevăzut. În momentul de față, consiliile de administrație și conducerea superioară se concentrează masiv pe reducerea probabilității și impactului perturbărilor asupra afacerii, precum și asupra modului în care ar putea continua livrarea serviciilor atunci când apar întreruperi. De asemenea, aceștia doresc să știe că organizațiile pe care le conduc favorizează o cultură a învățării, astfel încât planurile de reziliență să fie optimizate permanent în funcție de natura evolutivă a riscurilor. Autoritățile de reglementare și-au intensificat la rândul lor atenția acordată rezilienței și capacității companiilor de a livra servicii de afaceri fără întreruperi, deoarece clienții solicită acest nivel de disponibilitate a serviciilor.

Creșterea nivelului de reziliență este un proces complicat. Acesta implică multe grupuri la nivelul fiecărei companii — majoritatea cu priorități diferite și cu linii de raportare separate — care trebuie să lucreze diferit sau mai coerent decât în trecut, și trebuie să facă acest lucru de o manieră mai prioritizată, mai integrată și mai coordonată. Structurile complexe de entități juridice ale companiilor, modelul operațional și mediul tehnologic pot exacerba această provocare.

Pe baza diaologului cu participanții la industrie, subliniem 10 modalități în care companiile de servicii financiare pot crește nivelul de reziliență în întreaga organizație, de o manieră eficientă, eficace și urgentă:

1.  Accent pe cartografierea și demonstrarea serviciilor complete de afaceri, în afara granițelor companiei

Deseori, companiile își cartografiază procesele pe funcții, lucru care afectează reziliența și promovează gândirea și soluțiile în silozuri. În ziua de astăzi, este necesar să se înțeleagă și să se gestioneze întregul proces, începând cu serviciul de afaceri livrat clientului, apoi cu cartografierea aplicațiilor, instrumentelor, infrastructurii, oamenilor și proceselor — dar și a fluxurilor de date — care sprijină fiecare serviciu. Această cartografiere se întinde și în afara companiei, incluzând furnizorii de a treia și de a patra parte care sunt necesari pentru livrarea fiecărui serviciu de afaceri.

2.   Adoptarea unui limbaj comun de reziliență

Companiile au investit mult timp în ultimii zece ani pentru a construi un limbaj sau o taxonomie comună la nivel de organizație. Până acum, puține dintre ele au reușit să finalizeze acest demers. Majoritatea au mai multe seturi de taxonomii, fiecare elaborat pentru o anumită utilizare: unul pentru procesele de evaluare periodică a riscurilor și mijloacelor de control al riscurilor, unul pentru riscul operațional, unul pentru planul de răspuns la riscuri, unul pentru terțe părți și așa mai departe. O provocare comună pentru elaborarea unei taxonomii generale valabile la nivelul întregii organizații este introducerea responsabilității de afaceri. Deseori, eforturile de unificare a taxonomiei sunt privite ca fiind impuse celor din prima linie, nu ca fiind inițiate de cei din prima linie; cei din prima linie le văd ca eforturi pe care grupurile de control trebuie să le finalizeze pentru a-și desfășura munca lor și se plâng că sunt scrise în limbaj de control. Puțini lideri din prima linie văd taxonomiile ca fiind necesare pentru reziliența operațională sau ca fiind scrise în limbajul pe care l-ar folosi cei din prima linie pentru a descrie ce fac și cum lucrează.

3.   Identificarea și gestionarea dependențelor și a riscului de cumulare și de concentrare a avariilor într-un singur punct, în interiorul și în afara organizației

Cartografierea rezolvă doar un prim pas. Nu este suficient doar să înțelegem procesele sau fluxurile de date, ci și să identificăm punctele cheie în care pot avea loc cumulări ale întreruperilor sau zonele de concentrare a riscurilor (de exemplu operațiunile sau locațiile esențiale ale unei companii). Acestea ar putea include infrastructura IT sau procesele care susțin una sau mai multe etape esențiale pentru livrarea unui serviciu, o dependență esențială în amonte sau în aval (de exemplu un lucru care are loc înainte sau după procesul respectiv fără de care serviciul este întrerupt) și chiar experții cheie în anumite domenii.

4.   Stabilirea unei strategii de reziliență și a unui model operațional valabil la nivelul întregii organizații

Companiile au început să admită din ce în ce mai mult că activitățile lor de continuitate și de reziliență sunt disparate și că lipsesc conexiunile între acestea. Deseori, există nenumărate activități în zona de continuitate a afacerii, recuperare în caz de dezastru, răspuns la incidente cibernetice și managementul crizelor. Deseori, există multiple planuri de gestionare a crizelor și a situațiilor de urgență, pentru diferite linii de activitate, tehnologii, resurse umane și alte domenii. Puține dintre aceste planuri sunt conectate sau aplicate unitar; puține planuri au declanșatoare comune sau constante pentru escaladare și proces decizional; și foarte puține compnii și-au pregătit adecvat conducerea superioară și membrii consiliului de administrație pentru crize reale. Rezultatul este deseori ineficient, eronat sau de încetinire a luării deciziilor în momente de stres.

5.   Promovarea prevenției

Deși punctul de interes a devenit rapid răspunsul și recuperarea, trebuie să continue să existe o concentrare puternică pe prevenție pentru a reduce probabilitatea apariției întreruperilor și pentru a diminua impactul lor potențial. În acest sens strategiile includ:

  • Segmentarea sistemelor critice, inclusiv a rețelelor și sistemelor, și limitarea punctelor de atac și de acces
  • Înăsprirea drepturilor de acces prin reevaluarea privilegiilor de acces, de exemplu la schimbarea funcției unei persoane, inclusiv pentru terți (în special platforme găzduite de clienți)
  • Evaluarea gradului de învechire a infrastructurii IT pentru a reduce dependența de sisteme redundante și validarea faptului că învechirea infrastructurii IT nu creează vulnerabilități pentru procesele critice
  • Gestionarea eficace a schimbării pentru a reduce probabilitatea ca o schimbare a unei infrastructuri IT sau a unui proces prost executată sau slab controlată să genereze o perturbare
  • Implementarea rezilienței ca design — spre deosebire de reziliența ca remediu — pentru a permite adoptarea principiilor de reziliență încă din stadiul inițial de concepție de noi sisteme sau procese

6.   Stabilirea unei strategii de reziliență bine documentate și bine testate

Tradițional, discuția despre continuitatea afacerii începe cu o discuție privind soliditatea proceselor companiei — sau mai degrabă cu o dezbatere dacă un proces cheie sau un anumit echipament sau software vor da erori sau nu. În ziua de astăzi, companiile sunt întrebate de clienți și de autoritățile de reglementare cum vor continua să livreze un serviciu pornind de la presupunerea că un sistem sau un proces s-a deteriorat — întrebarea de test nu mai este dacă va apărea o perturbare ci cum va reacționa organizația atunci când apare perturbarea.

7.   Validarea sustenabilității abordărilor de rezervă

Clienții și autoritățile de reglementare nu mai vor să audă răspunsuri teoretice despre capacitățile de reziliență — în ziua de astăzi, aceștia vor să știe că organizațiile au testat procesele respective pentru o perioadă de timp pentru a stabili dacă este posibilă continuarea livrării serviciilor și în ce punct va apărea degradarea semnificativă a calității serviciilor. Acest lucru înseamnă trecerea de la discuții despre termene de recuperare țintă la termene de recuperare reale.

.

8.   Stabilirea unei strategii de testare solide la nivel de organizație care conduce la acțiune

Testarea rezilienței este acum și va continua să reprezinte un punct major de interes. Urmează întrebările cheie: Cât de bine și cât de frecvent sunt testate procesele critice și procesele de rezervă? Cum implică organizația terții în scenariile de testare și în testare? Cât de frecvent comută organizația procesele de producție în locațiile alternative pentru a le testa în condiții reale? Dispune organizația de suficient personal calificat pentru a derula procesele operaționale de rezervă?

9.   Stimularea memoriei musculare a liderilor prin simulări

Companiile intensifică gradul în care utilizează exerciții sau simulări practice de pre-planificare pentru a câștiga experiență — sau memorie musculară — la nivelul conducerii superioare și al membrilor consiliului de administrație, în toate liniile de activitate și înainte de apariția unui eveniment sau a unei crize reale. Tradițional, aceste eforturi s-au concentrat pe conducerea de nivel mediu, acele persoane care vor gestiona incidentele sau crizele zilnic. Dar, din ce în ce mai mult, companiile realizează că dimensiunea, frecvența și impactul potențial al perturbărilor implică o atenție suplimentară pe procesul decizional pe timp de criză la vârful organizației — în cele din urmă, în cazul unor crize extreme, consiliul de administrație și conducerea superioară trebuie să-și cunoască rolul în procesul decizional și să aibă exercițiul de a acționa pe timp de criză, indiferent de declanșatorul acesteia sau de tipul de eveniment. Un ton calm și decisiv de la vârf în timpul unei crize insuflă încredere pentru toate persoanele implicate.

10.   Promovarea unei culturii a învățării și rezilienței

În cele din urmă, reziliență înseamnă a avea disciplina organizațională și agilitatea de dezvolta — și de a îmbunătăți permanent — planurile și capacitățile companiei de a livra servicii fără întrerupere. Acest lucru implică o cultură deschisă la a învăța din greșelile și evenimentele din trecut — cele ale companiei și alte altor companii similare — și care promovează remedii și îmbunătățiri eficiente și aplicate la timp. Astfel, atenția se concentrează pe schimbarea comportamentelor oamenilor — pe a face angajații să-și aprecieze rolul important, deoarece reziliența stă foarte mult în mâinile lor. Nu este treaba altcuiva. Dacă se realizează cu succes, aceasta creează condițiile necesare pentru o cultură a rezilienței.

Rezumat

A crea reziliență este cel mai bun lucru pe care îl poate face o companie. Pe măsură ce companiile se transformă digital din front office până în back office și pe măsură ce încearcă să respecte promisiunea de disponibilitate 24/7 făcută clienților, obținerea rezilienței operaționale este esențială pentru succesul și competitivitatea pe termen lung a oricărei companii — și a industriei în sine.

E posibil ca drumul până la obținerea acesteia să fie lung. Dar acest drum este foarte important de parcurs.

Despre articol