23. septembril 2015 toimus infohommik teemal "Talitluspidevus" (Business Continuity), seda juhtis Eesti Panga riskijuht Aalo Kukk. Infohommikul osalejate kohad said täis ühe päevaga. Suurt huvi tingis kindlasti asjaolu, et talitluspidevus on oluline ning see on Eestis suhteliselt uus valdkond. ESAÜ ei ole varem sel teemal infohommikut ega koolitust teinud.
Talitluspidevuse juhtimine on elutähtis igas organisatsioonis, sest nii panustatakse otseselt jätkusuutlikkuse tagamisse. Alustame terminoloogiast.
Enne infohommikul kuuldu-nähtu kirjeldamist soovin pöörata tähelepanu terminoloogiale. Ingliskeelse termini „Business Continuity“ tähendust kannavad Eestis peamiselt nii selline mõiste nagu „talitluspidevus“ (krediidiasutuste seadus) kui ka „toimepidevus“ (hädaolukorra seadus), „tegevuse järjepidevus“ (halduskoostöö seadus) ja „tegevuse jätkuvus“ (ühistranspordi seadus). Kõik need terminid kannavad sarnast tähendust – suutlikkus tagada tegevuse toimimise järjepidevus.
Ülevaate Business Continuity (BC) põhimõtetest ja erinevatest raamistikest
Aalo Kukk andis infohommikul ülevaate Business Continuity (BC) põhimõtetest ning erinevatest BC-raamistikest. Eestis on mitmel organisatsioonil BC-dokumentatsiooni olemasolu kohustuslik, nagu näiteks krediidiasutustel ja elutähtsate teenuste osutajatel. Oluline on aga märkida, et ka igal BC‑dokumentatsiooni pidamise kohustust mitteomaval organisatsioonil võiks olla mingilgi kujul BC-raamistik ning vastavad toimepidevuse riskianalüüsid ja –plaanid. Eeskujuks või juhendmaterjaliks saab võtta erinevaid BC‑alaseid standardeid või juhendeid, millest Aalo ka infohommikul ülevaate tegi.
Olulisemad standardid ja juhendid
Olulisemad standardid on a) BS 25999, b) ISO 22301 ja c) ISO 22313. Juhenditest tõi Aalo välja näiteks järgmised: a) A Practical Approach to Business Impact Analysis. BSI 2011. b) PD 25666:2010 Business continuity management - Guidance on exercising and testing for continuity and contingency programmes.
Eesti Pangas kasutatav talitluspidevuse raamistik
Pärast teoreetilist osa kirjeldas Aalo Eesti Pangas kasutusel olevat BC-raamistikku ning kuidas kriitilisi tegevusi analüüsitakse ja riske hinnatakse. Oluline roll BC-juhtimises on toimepidevuse plaanide testimisel. Ükski toimepidevuse plaan ei saa olla adekvaatne, kui seda pole testitud. Aalo Kukk tõi kenasti välja testimiste eritüübid, nagu näiteks analüütiline test, osaline test, täistest.
Business Resilience ja Business Continuity - mis on mis?
Infohommiku lõpuks pakkus esineja osalejatele diskuteerimiseks küsimuse, kas innovaatiline mõiste Business Resilience ja juba tuttav mõiste Business Continuity tähendavad ühte ja sama, või on Business Resilience näol tegemist sisuliselt millegi uudsega.
Kuna infohommiku esinejaks oli riskijuht, kelle tööalased funktsioonid erinevad siseaudiitori omadest, siis soovin enda poolt kirjeldada mõningaid BC-juhtimise aspekte siseaudiitori tööst lähtuvalt.
Talitluspidevuse aspektid siseaudiitori tööst lähtuvalt ja IIA juhendid
Esiteks tahaksin mainida kahte IIA poolt välja antud BC-alast dokumenti. Üks on 2014. aastal ilmunud praktiline juhend Business Continuity Management, mis kirjeldab siseaudiitori rolli BC-juhtimises ning jagab soovitusi, millele tuleb pöörata tähelepanu BC-juhtimise auditeerimisel. Teine juhend – „GTAG-10: Business Continuity Management“, mis on välja antud 2009. aastal, ent ei ole siiani kaotanud oma aktuaalsust. See kirjeldab detailselt BC-juhtimist ning pöörab suuremat tähelepanu IT valdkonnale. Mõlemad dokumendid on IIA kodulehelt alla laaditavad.
Kuidas saab siseaudiitor panustada toimepidevuse juhtimisse arengusse enda organisatsioonis?
Esiteks tuleb vastata küsimusele „Kas juhtkond mõistab organisatsiooni jätkusuutlikkust mõjutavaid ohte ja nendest tulenevaid negatiivseid mõjusid?“. Mitteküpse valitsemisega organisatsiooni puhul peab siseaudiitor olema selleks mootoriks, kes pöörab juhtkonna tähelepanu vajadusele läbi viia riskianalüüsid. Samm-sammult kujuneb organisatsioonil oma riskijuhtimise raamistik, milles toimiks elav ja lisandväärtust toov riskijuhtimise protsess.
Soovin välja tuua mõningad võimalikud BC-alased kindlustandvad siseauditid, järjestades neid nn BC-juhtimise küpsuse taseme järgi, alustades siseauditist ebaküpse BC-juhtimise korral:
- Toimepidevuse riskide hindamine – siseauditi eesmärgiks oleks välja selgitada, kas organisatsioonis kaardistatakse kõige kriitilisemaid protsesse ning kas ja millises ulatuses tuvastatakse ja hinnatakse riske, mis võivad neid protsesse ohustada.
- Toimepidevuse juhtimise valitsemine – siseaudiitor selgitab välja, kas toimepidevuse juhtimise raamistik on dokumenteeritud ja vastavad protseduurid koostatud, kas toimepidevuse juhtimise protsessi elemendid on kirjeldatud ja adekvaatsed ning vastutused määratletud, kas olemas on vastav adekvaatne aruandlus jne.
- Riskide hindamine, ärimõju analüüs (Business Impact Analysis) ja riskide juhtimine – siseaudiitor läheb riskihindamise protsessi süvitsi.
- IT-kriisi haldus ehk Disaster Recovery – siseaudiitor hindab IT võimet taastada kriitiliste tegevuste toimimist.
- Kriiside juhtimine – siseaudiitor selgitab välja, kas võimalikud kriisid on tuvastatud ja mõju äriprotsessidele analüüsitud, kas kriisile reageerimise plaan olemas ja kas see on adekvaatne, kas kriisiplaanid on testitud ja vastavad inimesed koolitatud, kas aset leidnud kriisid on piisavalt dokumenteeritud.
Samuti võib siseaudiitor täita mõningatel juhtudel konsultatiivset rolli, nagu näiteks:
- arendada riskijuhtimise raamistikku;
- osutada konsultatiivset abi riskihindamiste juures;
- kriisi ajal jälgida ja hinnata organisatsiooni reageerimist kriisiolukorrale.