Forretningsgenopretningsrisiko

Hvad er risiko for forretningsgenopretning?

Forretningsmæssig genopretningsrisiko refererer til en virksomheds udsættelse for tab som følge af skader på dens evne til at udføre den daglige drift. Tab af evne til at udføre den daglige drift kan blandt andet skyldes forsyningskædeafbrydelser, beskadigelse af fysiske lokationer eller tab af adgang til virtuelle systemer.

Forståelse af Business Recovery-risiko

Analyse af risici for forretningsgenopretning involverer kategorisering af trusler efter kort-, mellem- og langsigtet effekt. Kortsigtede trusler kan omfatte skader på computersystemer eller arbejdernes manglende evne til at nå arbejdsstedet på grund af naturkatastrofer. Indvirkningstrusler på mellemlang sigt kan omfatte infrastruktursvigt eller tab af personale. Langsigtede påvirkningstrusler kan omfatte omfattende skader på ejendom.

Virksomheder adresserer risici for forretningsgenopretning inden for deres forretningskontinuitetsplan (BCP). En BCP oprettes for at sikre, at personale og aktiver er beskyttet og i stand til at fungere hurtigt i tilfælde af en katastrofe. BCP ville skabe et system til forebyggelse og genopretning fra potentielle trusler. Risici kan omfatte naturkatastrofer – såsom brand, oversvømmelse eller vejrrelaterede begivenheder – eller cybersikkerhedsangreb.

Efter terrorangrebene den 11. september 2001 er risikoen for genopretning af virksomheder blevet en vigtig komponent i risikostyring og katastrofegenopretningsplaner. Obligationshandelen var lukket i to dage og genoptog handelen den 13. september. New York Stock Exchange og Nasdaq genåbnede den 17. september efter den længste suspension af handel siden den store depression. Clearing og afvikling af betalingstransaktioner led adskillige forsinkelser.

En analyse afslørede sårbarheder i de risikostyringsstrategier, der anvendes af finansielle institutioner. For eksempel, mens de havde planlagt katastrofer i deres bygninger, havde firmaerne ikke planlagt forstyrrelser i hele området. Deres processer skabte heller ikke redundanser for at håndtere leverandørlukninger. Den indbyrdes afhængige kæde af begivenheder efter katastrofen understregede også vigtigheden af en samordnet indsats, i modsætning til individuel handling, for at sikre virksomhedens fortsættelse.

Forretningskontinuitetsplanlægning og disaster recovery er blevet en sofistikeret disciplin med certificeringer og planlægning, der involverer alle afdelinger i en institution, fra den øverste ledelse til sikkerhedspersonalet med ansvar for administration. Når man udvikler en forretningskontinuitetsplan, er der generelt fire trin, som en virksomhed skal følge: forretningskonsekvensanalyse, recovery, organisation og træning.

I løbet af forretningskonsekvensanalysefasen vil virksomheden identificere de funktioner og ressourcer, der er tidsfølsomme. I gendannelsesfasen vil virksomheden identificere, hvordan den vil genoprette kritiske forretningsfunktioner. I organisationsfasen danner virksomheden et kontinuitetsteam, som derefter vil lave en plan for at håndtere forstyrrelsen. Endelig, i træningsfasen, skal medlemmer af kontinuitetsteamet teste deres strategi og gennemføre øvelser, der gennemgår planen og strategien.

Højdepunkter

• Trusler på mellemlang sigt kan omfatte infrastruktursvigt eller tab af personale.

• Langsigtede trusler kan omfatte omfattende skader på ejendom.

• Kortsigtede trusler kan omfatte skader på computersystemer eller arbejdernes manglende evne til at nå arbejdsstedet på grund af naturkatastrofer.

• Forretningsmæssig genopretningsrisiko refererer til en virksomheds udsættelse for tab som følge af skade på dens evne til at udføre den daglige drift.

• Tab af evne til at udføre den daglige drift kan skyldes forsyningskædeafbrydelser, beskadigelse af fysiske lokationer eller tab af adgang til virtuelle systemer.