Identifikation af kritiske forretningsprocesser

Få inspiration til at identificere kritiske forretningsprocesser og gennemgå tjeklisten, der indeholder overvejelser, som organisationen med fordel kan løbe igennem inden formulering af en forretningsnødplan

Indsatsen med at udarbejde forretningsnødplaner skal målrettes mod at få de kritiske forretningsprocesser dækket ind. Det kræver, at de bliver identificeret.

En måde at gøre det på, er at gennemføre en BIA (Business Impact Analysis). BIA’en fortæller, hvor alvorligt forretningen selv vurderer den vil være ramt, hvis fx it-understøttelsen svigter i forhold til bestemte forretningsprocesser.

Forretningens kvalitative argumentation for, hvorfor manglende it-understøttelse vil være mere eller mindre kritisk på de forskellige områder, vil samtidigt afsløre hvilke forretningsprocesser, der vægtes højt. BIA’en svarer i store træk til konsekvensanalysedelen i en almindelig risikoanalyseproces.

Måske kan organisationen af den ene eller anden grund ikke støtte sig til en BIA. I så fald kan det være en god ide at danne sig et overblik over alle de forretningsprocesser, der understøtter organisationens primære opgaver.

Nedbryd processer til aktiviteter

Processerne kan evt. nedbrydes i aktiviteter for at lette overskueligheden af hvilke dele af processen, der umiddelbart vil kunne erstattes af forretningsnødplaner.

I nedenstående figur kan Proces 1 umiddelbart udføres i henhold til en forretningsnødplan, idet alle aktiviteter kan håndteres uden den almindelige it-understøttelse. Proces 2, derimod, kan kun i meget begrænset omfang undvære it-understøttelse, og det er derfor tvivlsomt, om der kan laves en forretningsnødplan. Proces 3 vil kunne udføres, hvis Aktivitet 3 ikke har direkte betydning for slutproduktet (f.eks. fordi det er en administrativ arbejdsgang, der kan vente til senere).

Proces 1, fire aktiviteter, der kan håndteres manuelt. Proces 2: 1 aktivitet, der kan håndteres manuelt, tre der ikke kan. Proces 3, tre aktiviteter, der kan håndteres manuelt, en der ikke kan. Den sidste er til gengæld ikke direkte betydning for slutproduktet.

Herudover kan følgende indikatorer bruges til at identificere forretningsprocesser, der bør dækkes ind af en forretningsnødplan.

Det er forretningsprocesser, som:

  • er nødvendige for regeringens og Folketingets arbejde. Det kunne være centrale lovgivningsprocesser, fx finanslovsprocessen.
  • sikrer, at basale menneskerettigheder overholdes. Fx overholdelse af frister for grundlovsforhør.
  • borgere og virksomheder er afhængige af for at kunne hævde eller opnå vitale retsstillinger. Fx ydelser på det sociale område eller tinglysning af ejendom.
  • er nødvendige for at opretholde og/eller vedligeholde infrastruktur, såsom veje, jernbaner eller luftfart.
  • er nødvendige for at garantere borgernes sikkerhed. Fx politi- og redningsindsatser.
  • er nødvendige i forhold til sundhed og sygdomsbekæmpelse. Fx sygehusvæsenets akutydelser.

Nogle organisationer løser ikke opgaver, der falder i ovenstående kategorier. Det udelukker ikke, at forretningsnødplaner er relevante. Alle organisationer vil have forretningsprocesser i deres opgaveportefølje, der er de mest kritiske for lige netop den organisation. For alle sådanne processer bør muligheden for at udarbejde forretningsnødplaner overvejes. 

I forlængelse af denne vejledning er udarbejdet en skabelon, som kan anvendes til at beskrive forretningsnødplanerne.

Overvejelser forud for forretningsnødplanlægning

Følgende tjekliste indeholder overvejelser, som organisationen med fordel kan løbe igennem inden formulering af en forretningsnødplan:

  • Kan den almindelige forretningsproces forenkles i en beredskabssituation (afskaffelse af administrative led, kvalitetskontrol, godkendelsesled, mv.)?
  • Hvor er data og i hvilken form? Vil det være muligt at vedligeholde en kopi af data et andet sted (f.eks. et decentralt lager)/i en anden form (f.eks. på papir) og vil det være muligt at arbejde med disse data i en beredskabssituation?
  • Hvilken forretningslogik bidrager it-understøttelsen med? Og er det muligt at erstatte/emulere denne med andre værktøjer, f.eks. en lokalt afviklet regnearksapplikation?
  • Kræver det ekstra medarbejderressourcer at videreføre forretningsprocessen uden it-understøttelse? Kan man forvente at råde over disse i en beredskabssituation?
  • Kræver det særlige kompetencer at videreføre forretningsprocessen uden it-understøttelse? Kan man forvente at råde over disse i en beredskabssituation?
  • Hvor stort et effektivitetstab vil det betyde at arbejde efter en nødplan? Og giver det i forretningsnødplanen anledning til at prioritere mellem forretningsprocessens aktiviteter eller helt undlade nogle?
  • Hvad er ekstraomkostningerne ved at overgå til en nødplan? Kan man forvente at få dækket omkostningerne?
  • Hvad er strategien for at sikre/genoprette dataintegriteten i hovedsystemerne efter at almindelig it-drift er genoptaget?
  • Vil nødplanen betyde slæk på de almindelige sikringsforanstaltninger – f.eks. i forhold til fortrolighed? Og skal forretningsnødplanen anvise kompenserende foranstaltninger herfor?
  • Hvilke kommunikationsmidler kan antages at være til rådighed i en beredskabssituation?