Vad gör ni om de mest centrala processerna i verksamheten fallerar? För detta behövs en plan, så att de affärskritiska processerna är säkrade när det som inte ska hända händer. Affärskritiska är alla de processer som krävs för att verksamheten ska nå sina affärsmål. Att säkra dem handlar om att planera för att upprätthålla verksamheten på en acceptabel nivå oavsett vad som händer: brutna leveranskedjor, brand eller pandemier.
Affärskritiska processer – Så håller du skutan flytande i storm
Kvalitetssystem Att säkra de affärskritiska processerna i en verksamhet är en kompetenskrävande uppgift. Samtidigt är den viktig om verksamheten ska kunna upprätthållas vid en kris. Vi ger ett hypotetiskt exempel på hur det går till.

Någonting är fel
Läs vidare – starta din prenumeration
Ett mål bör också vara att mildra konsekvenserna av händelsen, samt bädda för en snabb återhämtning. Allt sammantaget handlar det om det som Myndigheten för samhällsskydd och beredskap, MSB, kallar för ”kontinuitetshantering”. För att uppnå syftet att hålla verksamheten igång under en händelse, mildra konsekvenserna samt snabbare återhämta sig, så behövs en plan. Och för att nå dit krävs ett grundligt arbete, oavsett om processen sköts internt eller med extern konsulthjälp.
En översikt av förfarandet
Kvalitetsmagasinet bad Lars Zetterström, vd på Kronan Säkerhet och utbildare i risk- och sårbarhetsanalys och åtgärdsplaner, att ge en översiktsbild av förfarandet. Kraftigt komprimerat kan man säga att det systematiska arbetet för att säkra kritiska affärsprocesser följer denna gång:
- Identifiera skyddsvärda tillgångar. Definiera hot och sårbarheter.
- Gör en riskbedömning. Beskriv troliga konsekvenser om hotet inträffar, bedöm sannolikheten och beräkna riskvärdet.
- Gör en åtgärdsplan. Prioritera vad som ska göras, vem som bär ansvaret för utförandet och vem som äger risken. När denna plan görs måste också kostnadsperspektivet vägas in: Vad väger kostnaden för skyddsåtgärden jämfört med kostnaden för eventuellt inträffad händelse?
Gör en ”BIA”
Lars Zetterström ger ett hypotetiskt exempel som liknar uppdrag han utfört. Låt oss säga att kunden är ett företag vars kärnverksamhet utgår från en tillverkningsanläggning. Denna anläggning är central för verksamhetens existens, alltså identifierar vi den som företagets främsta skyddsvärda tillgång.
Vad händer om tillverkningsanläggningen slås ut? För att ta reda på det så genomför du en ”Analys av affärspåverkan”, en så kallad BIA (Business Impact Analysis). På det här stadiet är det inte nödvändigt att formulera några konkreta hot eller möjliga händelser, du måste inte heller räkna på sannolikheten.
Du behöver alltså bara ställa upp själva kärnfrågan: vad händer om tillverkningsanläggningen slås ut? I vårt hypotetiska exempel räknar vi ut att verksamheten påverkas redan efter några dagar om tillverkningen har avstannat. Men på grund av lagerkapacitet och så vidare kan verksamheten ändå fortsätta leverera i tolv veckor utan anläggningen. Det vill säga: efter tolv veckor utan tillverkning så avstannar leveranserna. Detta är vår acceptabla avbrottstid.

BIA:n pekar på brister
I vår BIA analyserar vi också hur lång tid det tar att bygga upp själva anläggningen, med maskiner och allt. Våra beräkningar säger 38 veckor. Men tänk om även själva byggnaden som anläggningen finns i förstörs – hur lång tid tar det då att återuppbygga den? Vår analys svarar: 49 veckor.
– Då har vi två stycken vågskålar, förklarar Lars Zetterström.
I den ena: acceptabel avbrottstid, tolv veckor. Och i den andra, när någonting inträffar, oavsett vad det är, ett avbrott på 49 veckor. Kanske har vi en annan byggnad där kan vi bygga upp anläggningen och då kan vi göra det på 38 veckor. Men vi inser ändå blixtsnabbt att det här är inte hållbart.
Gör en kontinuitetsplan
Nu kommer nästa steg: Kontinuitetsplanen. Den ska beskriva vägen till en snabb återhämtning när något händer. Om anläggningen förstörs och den acceptabla avbrottstiden är tolv veckor, då behöver vi ta fram en plan på hur vi kan återskapa vår anläggning på tolv veckor; inte på 38 eller 49 veckor som vår BIA-analys säger att det kommer att ta under rådande omständigheter.
– I det här fallet går det att lösa genom några strategiska investeringar och ett nära samarbete med försäkringsgivaren, så att man snabbt kan få loss tillräckliga resurser för att bygga upp anläggningen på den stipulerade tiden, säger Lars Zetterström.
Hot och åtgärder
Med de här beräkningarna har vi då en plan för hur anläggningen ska återuppbyggas och hur beslutsgången ska se ut för att man ska lyckas med det på tolv veckor. Har man nu inte redan gjort en riskbedömning så är de flesta kunder i det här skedet motiverade att ta tag i den saken, konstaterar Lars Zetterström. När man har klart för sig hur hårt verksamheten kan drabbas, och vilka kostnader en återuppbyggnad är förenad med, då vill de flesta känna till riskerna och göra sitt bästa för att eliminera dem.
– Då tittar vi på möjliga hot, gör en sannolikhetsbedömning och ser vilka behov som finns. Kanske bör vi investera i skyddsåtgärder, utbildning av personal, eller titta på en alternativ produktionsplats och så vidare, förklarar Lars Zetterström.
– Och så tar vi det sista steget – det som brukar kallas för ett systematiskt säkerhetsarbete. Det kan vara att man inte släpper in obehöriga som kan orsaka störningen som finns i vår riskbedömning. Det kan vara brandskyddsåtgärder och brandlarm, eller att man har ett proaktivt arbetssätt. Men allt det där kostar ju pengar, och jag vet att det är värt investeringarna eftersom jag väger dem mot kostnaden för störningarna som jag har beräknat i min business impact analysis.
Kvalitet och säkerhet flyter ihop
Han menar att kvalitetsarbete och säkerhetsarbete har blivit mycket nära sammankopplade, så pass att det ibland är svårt att dra en skiljelinje däremellan, oavsett om organisationen har en säkerhetsavdelning. Sedan ISO 9001 reviderades 2015 genomsyras den till exempel av riskbaserat tänkande, eftersom ”organisationen ska arbeta systematiskt med risker och inte hantera ’förebyggande åtgärder’ som en separat komponent i kvalitetsledningssystemet” som SIS beskriver förändringen.
Dilemmat blir än mer tydligt om produkten eller tjänsten dessutom är kopplad till säkerhet. Hos en leverantör av säkerhetsprodukter eller säkerhetstjänster, exempelvis, riskerar ansvaret att bollas mellan säkerhets- och kvalitetschefen.
– Jag har jobbat i båda rollerna och vet att det väldigt lätt blir diskussioner kring avgränsningarna: ”Nej, det där är kvalitetschefens problem’, ’nej, det är säkerhetschefens problem’, säger Lars Zetterström. Men är du processägare och den skyddsvärda tillgången ligger på ditt bord, då är det ditt problem.
– Det vi också sett under pandemin är verksamheter som snabbt ställt om till försäljning via nätet och leverans och upphämtning på ett ’corona-säkert’ sätt. Det krävs en hel del fantasi och klokhet för att kunna förutse det behovet, men också att våga ta ny, smarta och kloka beslut när krisen är framme.
Fakta
Några standarder som hjälper organisationer att säkra affärskritiska processer
ISO 9001. Slår fast att en organisation bör tillämpa riskbaserat tillvägagångssätt för att nå framgång, och innehåller rutiner för riskbaserat tänkande.
ISO 22301 – Säkerhet och resiliens. Ledningssystem för kontinuitetshantering. Fastställer krav för att införa, upprätthålla och förbättra ett ledningssystem för att ge skydd mot, minska sannolikheten för förekomst av, göra förberedelser för, utföra åtgärder mot och åstadkomma återhämtning efter avbrott när de uppstår.
ISO 31000 – Riskhantering. Handlar om risk management, och innehåller rutiner för ett systematiskt arbete för att medvetet värdera och hantera risker.
ISO 27001 – Ledningssystem för cyber- och informationssäkerhet. Handlar om att skydda information, inklusive cybersäkerhet.
ISO 14001 – Miljöledningssystem. Fastställer krav för och ger vägledning inom ledningssystem på miljöområdet, och är den mest använda i sitt slag i världen.
ISO 45001- Ledningssystem för arbetsmiljö. Innehåller krav på hur ett gott och systematiskt arbetsmiljöarbete ska bedrivas.
Du kan läsa mer om riskanalys och kontinuitetshantering här och här.