Kontinuitetshantering – Låt inte en störning utvecklas till kris

Kontinuitetshantering handlar om att kunna upprätthålla verksamheten i samband med kris. Det kan också ses som en form av riskhantering, där de risker med låg sannolikhet och stor konsekvens som noteras i riskanalysen bemöts. I detta inlägg kommer vi utifrån ett fiktivt katastrofscenario för det svenska Tillverkningsbolaget X diskutera hur man undviker att hamna i samma sits. 

Scenario...

Det svenska Tillverkningsbolaget X (TVX) är beroende av en specifik komponent från en underleverantör i Östeuropa. En måndagsmorgon meddelar leverantören att deras produktions- och affärssystem slagits ut av en cyberattack. Även färdigt lager blir stående eftersom aviseringar/etiketter inte kan genereras. Prognosen lyder: minst två veckors försening. TVX har begränsad lagerhållning och planeringssystemet indikerar att huvudlinan riskerar att stanna inom 72 timmar. Samma dag sitter majoriteten av TVX:s styrelse och ledning i en säker anläggning med teleförbud. En kraftig storm leder till lokalt strömavbrott och avspärrningar, vilket gör dem onåbara. Ersättare/delegationsordning finns, men utan tydliga mandat för större inköp, ändrad produktionstakt eller extern kommunikation.

De första timmarna…

I TVX:s vardag är kontinuitetsarbetet åsidosatt. Inköps- och attestregler är byggda för kostnadskontroll, inte snabb krishantering. Föregående år genomfördes en konsekvensanalys, men arbetet kom aldrig i gång och prioriterades ned till förmån för annat. Den befintliga konsekvensanalysen sammanfattar intäktsrisk per produktfamilj och beskriver vissa kritiska beroenden, men flera fält står tomma. Beroendet av den saknade komponenten som nu riskerar orsaka produktionsstopp har inte beskrivits som kritiskt i underlaget, med motiveringen att flera andra leverantörer finns. Vid närmare granskning visar det sig att de flesta alternativ är återförsäljare eller fabriker som i sin tur är beroende av samma underleverantör. På intranätet finns en kontinuitetsplan som aldrig övats. Planens telefonlista visar sig innehålla kontaktpersoner som slutat och gamla e-postadresser.

Timme 8–48

Under eftermiddagen dyker ett dyrt, osäkert alternativ till den saknade komponenten upp. Alternativet kräver snabb utvärdering och kundgodkännande innan det får användas. Inköpsavdelningen vågar inte beställa, bolagets jurister vill ha ledningsbeslut och produktionen önskar besked om riktning; ska tillverkningen bromsas för att undvika dyrt stillestånd? Mot måndagseftermiddagen bryter en dragkamp ut inom TVX. Produktionsavdelningen, försäljningsavdelningen och ekonomi vill alla hantera läget på olika sätt. Samtidigt läcker information från bolaget och media börjar ringa. Bolaget vill inte lämna ett utlåtande utan företagsledningens medgivande.

Timme 48–72

Tiden går och kunder börjar höra av sig. Rykten sprids i branschpress och oron bland medarbetare ökar. Timmarna blir till dagar och till sist tar lagret med komponenten slut. Huvudlinan stannar. Först när ledningen åter är nåbar upprättas en formell krisorganisation, mandat delas ut och en åtgärdsplan godkänns, men då har störningen redan utvecklats till en företagskris med betydande ekonomiska, avtals- och förtroendemässiga konsekvenser.

Vad gick fel?

Vad kan man då göra för att undvika att hamna i samma läge som TVX? I det förekommande fallet är det tydligt att delegationsordningen är av vikt. Men lika tydligt är att TVX är ett bolag som allt för länge åsidosatt kontinuitetsarbetet till förmån för annat. Ledningen är inte engagerad i frågan, vilket leder till att det kontinuitetsarbetet som utförts inte varit tillräckligt. Konsekvensanalysen missar kritiska beroenden med produktionsstopp som följd. De kontinuitetsplaner som finns på plats är inte testade och innehåller föråldrade uppgifter. Nedan följer en samling tips som riktar sig till de som ska, eller nyligen har påbörjat sitt arbete med kontinuitetshantering.

Tips 1 – Säkerställ ledningens engagemang

För att kontinuitetsarbetet ska få effekt i verksamheten är det avgörande att den högsta ledningen engageras. Ledningen bör exempelvis godkänna och besluta kontinuitetsarbetets strategiska mål samt säkerställa resurser och stöd till de som arbetar operativt med kontinuitetshantering. Utan ledningens stöd riskerar kontinuitetshanteringen bli ett ”hyllvärmarprojekt”.

Förutsättningarna för att säkra ledningens engagemang  varierar naturligtvis mellan olika verksamheter. I det fall en motivering krävs (och verksamheten inte träffas av lagkrav som Dora eller NIS2) är det alltid i ledningens intresse att verksamheten kan upprätthållas i allt osäkrare tider. Krav på ledningens engagemang och ansvar för kontinuitetshantering finns även fastställt i internationell standard.[1]

Tips 2 – Hellre en användbar konsekvensanalys än en perfekt

Gratis stödmaterial för konsekvensanalys, men också kontinuitetshantering generellt tillhandahålls av Myndigheten för samhällsskydd och beredskap (MSB).

Konsekvensanalysen ska resultera i information om tre saker: kritiska processer; hur länge verksamheten tål att vara utan dem och vilka kritiska beroenden som finns.  I fallet med TVX hade en konsekvensanalys kunnat avslöja risken i leverantörskedjan; att den kritiska komponenten (beroendet) endast hade en leverantör. Leverantörsrisker är aktuella för många organisationer och viktiga att beakta i samband med konsekvensanalys. Därtill hade en konsekvensanalys kunnat synliggöra att TVX:s delegationsordning för beslutsfattande var svag. 

Arbetet med att ta fram en konsekvensanalys kan ofta upplevas som komplext och betungande. Beroenden är svåröverskådliga och kan vara stora till antalet, vilket innebär att konsekvensanalysen tar tid och kraft. Det är emellertid avgörande för verksamheten att identifiera kritiska processer, bestämma oacceptabla avbrottstider och formulera mål och prioritering för återställning.

Det är vanligt att ha med sig en känsla av att konsekvensanalysen inte är perfekt och inte tar hänsyn till alla möjliga risker och beroenden, men det viktigaste är att faktiskt genomföra den. En konsekvensanalys som tydligt beskriver kritiska processer, beroenden och ansvarsfördelning kan leda till viktiga insikter och är till oerhört stor nytta för verksamheten under kris, även om den inte är perfekt.

Tips 3 – Integrera kontinuitetshanteringen i befintliga processer

En förutsättning för att kontinuitetsarbetet ska fungera långsiktigt är att det införs i verksamhetens arbetssätt. Genom att integrera kontinuitetsarbetet i befintliga verksamhetsprocesser minskar risken för dubbelarbete och chanserna ökar att arbetet faktiskt genomförs och hålls levande över tid.

Kontinuitet påverkar många delar av organisationen; från strategisk planering till operativa stödprocesser och riskhantering. Därför är det smart att bygga vidare på de strukturer som redan finns. I stället för att skapa en separat rutin för kontinuitet kan man väva in kontinuitetsaspekter i de riskbedömningar som ändå görs vid nya IT-initiativ. På samma sätt kan kontinuitetsfrågor inkluderas i det årliga internkontrollarbetet eller i leverantörsutvärderingar. Fundera var arbetet med kontinuitetshantering ska möta ert nuvarande arbetssätt.

Tips 4 – Testa er kontinuitet

Att öva kontinuitetsarbetet är avgörande för att kunna hitta brister i befintliga kontinuitetsplaner. TVX hade blivit varse ett antal problem med om de övat sina kontinuitetsplaner. Att testa kontinuitetsplanerna avslöjar ”glapp” och brister i den befintliga planeringen som annars bara syns i skarpt läge. I TVX:s fall handlar det om gamla telefon- och mejllistor och bristfällig delegering. Att sätta testen i relation till de tidsmål för återställning som fastställts vid konsekvensanalysen är ett bra mått på hur väl arbetssättet presterar.

Minst lika viktigt är att test av kontinuitetsplaner bygger handlingskraft i den egna organisationen. Ersättare vågar ta beslut genom att bli tryggare i sina roller och sannolikheten ökar att detta gäller även vid skarpt läge. Varje övning kommer synliggöra brister och förbättringsområden i det befintliga arbetet, vilket möjliggör ständiga förbättringar för kontinuitetshanteringen. 

1. Säkerhet och resiliens – Ledningssystem för kontinuitetshantering – Krav (ISO 22301:2019)