Det har varit ett hemskt år på många sätt, säger David Gregory. Det har också varit ett intressant och lärorikt år, och ett år som verkligen satt ljuset på många sårbarheter i vårt samhälle och inom våra organisationer, säger han.
Förutsättningen för snabb återhämtning
Det finns mycket att lära från året med Covid-19, menar han. Och med pandemin i färskt minne har organisationer goda förutsättningar att stärka sin motståndskraft och anpassningsförmåga vid kriser.
David Gregory har nära 20 års erfarenhet inom Business Continuity Management, BCM, där han drivit kontinuitetsprojekt för såväl lokala och regionala som nationella och internationella organisationer. Kontinuitet skapas genom att utgå från företagets leveranser, genom att förstå beroenden och hur en bruten kedja skulle påverka och hur stor sannolikheten för ett misslyckande är. Planeringen blir sedan förutsättningen – själva paraplyet – för alla sorters aktiviteter vid en kris, det vill säga företagets kris- och riskhantering.
– Kontinuitetsplanering skapar förutsättningar för organisationer att klara kriser med minimala störningar och nedtider som följd. Syftet med BCM är att skapa fokus och effektivitet för företagets risk- och krishantering. För kriser, dem vet vi kommer, säger David Gregory.
David Gregory
Senior Research Director
Gartner
Foto: Gartner
Inte en IT-fråga – en affärs- och ledningsfråga
Redan innan Covid-19 var det många organisationer som började inse att deras kontinuitetsplanering inte riktigt var anpassad till dagens komplexa utmaningar, säger han. Och många har haft svårt att återhämta verksamheten efter den första krisande tiden.
– Att så många möter utmaningar beror generellt på att BCM ofta organiseras på ett sätt som inte sätter vare sig företagets verksamhet eller kompetens i fokus. Förra året belyste hur risker kan påverka en hel verksamhet och pågå på obestämd tid.
Kontinuitetsplanering måste därför ske utifrån ett brett och holistiskt perspektiv som fokuserar på affärsverksamheten. Organisationer fokuserar generellt för mycket på enskilda risker där påverkan är begränsad och passerande och där IT blir drivande i arbetet. Men kontinuitetsplanering är ingen IT-fråga.
– BCM är en affärs- och lednings-fråga. Sätt ljuset på er kritiska kärnverksamhet och de resurser som måste finnas på plats för att upprätt-hålla den. IT är en del av detta, men inte allt, säger David Gregory.
Han vill inte heller lägga för stort fokus på ”dagens” hot och risker. Bygg istället upp den kompetens som krävs för att klara anpassning, återhämtning och återställning under och efter en kris, oavsett vilken. Även vid kända risker – såsom cyberhot, klimatförändringar och geopolitisk instabilitet – kan ingen i detalj förutse vad som faktiskt kommer att ske.
– Mitt råd är alltid att inte bygga företagets BCM efter definierade scenarios för det kommer alltid att hända saker ni inte kunnat förutse. Och vad gör ni då?