Operativna otpornost danas je temeljni i neizostavan pojam u suvremenom financijskom i poslovnom svijetu. U svijetu obilježenom sve većom kompleksnošću, brzim tehnološkim inovacijama i stalno dinamičnijim okruženjem, sposobnost organizacija da se nose s poremećajima, oporave se i nastave svoje poslovanje bez većih šteta je ključna. Ovaj pojam nadilazi tradicionalnu procjenu rizika jer se ne radi samo o identificiranju i smanjenju rizika, već o izgradnji robusne i agilne strukture koja osigurava kontinuitet ključnih funkcija organizacije. Organizacije su stalno izložene različitim prijetnjama: od kibernetičkih napada, prekida sustava i operativnih kvarova do vanjskih utjecaja poput prirodnih katastrofa ili geopolitičkih nesigurnosti. Operativna otpornost stoga zahtijeva duboko integrirano upravljanje rizicima, poštivanje propisa i stabilnu upravljačku strukturu spremnu djelovati učinkovito u svakom trenutku.
Trenutni regulatorni okvir pridaje sve veću važnost operativnoj otpornosti. Nadzorna tijela zahtijevaju od financijskih institucija i drugih kritičnih organizacija ne samo pripremu za krizne situacije, već i aktivno i učinkovito reagiranje bez stvaranja sistemskih rizika ili društvenih poremećaja. To znači da je operativna otpornost postala sastavni dio strateškog fokusa, što snažno utječe na interne procese, tehnologiju, zaposlenike i vodstvo. Cilj je uspostaviti sveobuhvatan okvir koji uzima u obzir cijeli lanac vrijednosti, ovisnosti o dobavljačima i vanjskim partnerima, kao i interakcije s tržištima i dionicima. U tom kontekstu ključno je razvijati i testirati scenarije za procjenu ranjivosti i sposobnosti oporavka, što neizbježno stvara transparentnost i odgovornost prema nadzornim tijelima.
Kompleksnost operativne otpornosti: Kartiranje rizika
Proces identifikacije rizika koji ugrožavaju operativnu otpornost je izrazito složen i zahtijeva multidisciplinarni pristup. Prvi korak je identificirati poslovno kritične procese koji su ključni za opstanak organizacije. To uključuje detaljnu analizu nezamjenjivih funkcija i usluga, potencijalnih posljedica poremećaja i pripadajućih ovisnosti. Ta analiza obuhvaća interne elemente poput sustava, zaposlenika i podataka, ali i vanjske čimbenike kao što su lanci opskrbe, infrastruktura i tržišni uvjeti. Temeljito razumijevanje ovog lanca presudno je za identifikaciju najvećih ranjivosti i prioritizaciju rizika.
Nadalje, procjena rizika zahtijeva strogu metodologiju koja uključuje i kvalitativne i kvantitativne čimbenike. Ne radi se samo o procjeni vjerojatnosti poremećaja, već i o težini posljedica i brzini oporavka. Važno je razlikovati različite vrste rizika: operativne rizike koji proizlaze iz internih procesa, tehnološke rizike poput kibernetičkih prijetnji i IT kvarova te vanjske rizike poput prirodnih katastrofa ili političke nestabilnosti. Svaki od ovih rizika zahtijeva specifične kontrolne mjere i prilagođenu strategiju odgovora, ovisno o tipu i utjecaju prijetnje.
Dinamična priroda rizika koji utječu na operativnu otpornost čini stalno praćenje i redovito ažuriranje nužnim. Organizacije moraju održavati kontinuirani dijalog o razvoju rizika i procjenjivati učinkovitost postojećih mjera na temelju novih saznanja i okolnosti. To zahtijeva ne samo napredne analitičke tehnike i robusnu podatkovnu infrastrukturu, već i kulturu budnosti i prilagodljivosti unutar organizacije. Samo kroz kontinuirani proces identifikacije, procjene i smanjenja rizika može se ojačati operativna otpornost, osiguravajući da je organizacija spremna za nepredviđene događaje koji bi mogli poremetiti poslovanje.
Regulatorni zahtjevi i njihov utjecaj na operativnu otpornost
Regulacija operativne otpornosti značajno se promijenila tijekom posljednjih godina. Nadzorna tijela poput De Nederlandsche Bank (DNB), nizozemskog financijskog regulatora Autoriteit Financiële Markten (AFM), kao i europskih institucija poput European Banking Authority (EBA) i European Securities and Markets Authority (ESMA) razvila su specifične okvire za osiguranje da organizacije ne samo da su pripremljene za krize, već da također mogu učinkovito osigurati oporavak i kontinuitet. Ti okviri uključuju zahtjeve za upravljanje rizicima, vodstvo, testne protokole i obveze izvještavanja. Izazov je uskladiti poštivanje ovih strogo propisanih pravila s implementacijom praktičnih i učinkovitih strategija otpornosti prilagođenih specifičnom kontekstu organizacije.
Ova regulativa utječe na cijelu organizaciju i postavlja velike zahtjeve na upravljačku razinu. Organizacije moraju provesti detaljne analize svojih kritičnih procesa, dobavljača i IT infrastrukture, uzimajući pritom u obzir ne samo tehničke i operativne aspekte već i posljedice za klijente i širu zajednicu. To znači da usklađenost (compliance) i upravljanje rizicima više ne mogu biti odvojene funkcije, već moraju biti usko integrirane kako bi se osigurala snažna operativna otpornost. Poštivanje ovih zahtjeva također zahtijeva kulturu transparentnosti i integriteta, u kojoj je rana identifikacija ranjivosti i razmjena relevantnih informacija ključna.
Također je ključno da organizacije mogu dokumentirati redovito testiranje i procjenu svoje otpornosti. To se često provodi putem stres testova i realističnih scenarijskih vježbi kako bi se provjerila učinkovitost mjera odgovora i oporavka. Ove vježbe nisu samo formalne obveze, već temeljni dio upravljanja koje izravno utječe na strateške odluke. Nedostatak usklađenosti može dovesti do sankcija, gubitka reputacije i nepovjerenja među klijentima, investitorima i nadzornim tijelima. Regulativa stoga snažno potiče da se operativna otpornost ne shvaća kao apstraktan koncept, već kao praktičan i neophodan preduvjet za funkcioniranje svake organizacije.
Vodstvo i odgovornost za operativnu otpornost
Struktura upravljanja operativnom otpornošću mora biti takva da su odgovornosti i kontrole jasno dodijeljene. To znači da rukovodstvo i nadzorni odbori nisu samo formalno odgovorni, već i aktivno uključeni i kompetentni u području upravljanja rizicima i otpornosti. Učinkovito vodstvo podrazumijeva jasne uloge i odgovornosti za definiranje, nadzor i prilagodbu mjera otpornosti koje su ukorijenjene u korporativnoj kulturi i poslovnim procesima. Integracija operativne otpornosti u okvir upravljanja rizicima i usklađenosti stoga je nužna.
Također, uprava treba jasnu strukturu izvještavanja nadzornim tijelima i internim dionicima. Informacije za upravu moraju biti pouzdane, aktualne i relevantne kako bi se donosile informirane odluke. To zahtijeva implementaciju sustava i procesa za konzistentno prikupljanje i analizu podataka o incidentima, rizicima, kapacitetu oporavka i rezultatima testiranja. Važno je da te informacije sadrže ne samo kvantitativne podatke, već i kvalitativne procjene koje omogućuju rano otkrivanje rizika i proaktivne mjere.
Korporativna kultura jednako je važna kao i formalno vodstvo. Kultura odgovornosti, transparentnosti i stalnog poboljšanja nužna je za osiguranje operativne otpornosti. Zaposlenici na svim razinama moraju biti svjesni kako njihove radnje utječu na otpornost organizacije i poticani su da prijavljuju ranjivosti i predlažu poboljšanja. Ova kultura jača otpornost na poremećaje i čini temelj za formalne mjere koje nadograđuju i optimiziraju tu otpornost.
Tehnologija: Dvosjekli mač za operativnu otpornost
Tehnologija je ključni dio operativne otpornosti s dvostrukom funkcijom: s jedne strane pruža neviđene mogućnosti za automatizaciju procesa, nadzor područja rizika i brzo otkrivanje i reagiranje na incidente; s druge strane uvodi nove ranjivosti i ovisnosti. Organizacije postaju sve ovisnije o složenim IT sustavima, cloud okruženjima i digitalnim mrežama, što može eksponencijalno povećati posljedice tehničkih kvarova ili kibernetičkih napada. Osiguravanje robusnosti i kontinuiteta tehničke infrastrukture stoga je temeljni preduvjet za operativnu otpornost.
Važan aspekt je implementacija mehanizama redundantnosti i oporavka u IT okruženju. To uključuje sigurnosne kopije, sustave za preuzimanje u slučaju kvara (failover) i planove za katastrofe koji osiguravaju da se ključni podaci i sustavi mogu brzo i pouzdano vratiti nakon incidenta. Nadalje, sustavi se moraju kontinuirano procjenjivati i jačati, osobito u svjetlu rastuće složenosti i sofisticiranijih cyber prijetnji. Ove mjere zahtijevaju značajna ulaganja i specijaliziranu stručnost, ali su neizostavne za sprječavanje ili ograničavanje IT-povezanih prekida rada.
Istovremeno, tehnologija zahtijeva stalnu usklađenost s upravom i regulativom. Tehnička rješenja moraju zadovoljiti važeće zakone i propise kao što su GDPR i industrijski standardi. IT upravljanje stoga se ne može promatrati izolirano od sveobuhvatne strategije upravljanja rizicima i usklađenosti. Samo takvim integriranim pristupom tehnologija može u potpunosti ispuniti svoj potencijal i doprinijeti otpornosti organizacije koja će uspješno odgovoriti na buduće izazove.
Planiranje kontinuiteta i simulacija scenarija kao ključni elementi
Planiranje kontinuiteta predstavlja srž učinkovite strategije operativne otpornosti. Radi se o sustavnom dokumentiranju mjera i procesa koji osiguravaju da najkritičnije poslovne funkcije mogu neometano nastaviti ili se što prije vratiti u normalu nakon poremećaja. Ovo planiranje uključuje sve razine unutar organizacije, obuhvaćajući ljude, procese i tehnologiju. Čvrst plan kontinuiteta zahtijeva duboko razumijevanje poslovanja, preciznu procjenu rizika i pragmatičan pristup strategijama oporavka koji odgovaraju dostupnim resursima i prioritetima. Također, plan mora biti dinamičan i prilagođavati se promjenjivim okolnostima i iskustvima iz prakse.
Simulacija scenarija snažan je alat unutar planiranja kontinuiteta. Simuliranjem različitih situacija poremećaja – od opsežnih cyber-napada do fizičkih katastrofa – organizacije mogu testirati svoju spremnost i procijeniti otpornost planova. Ove vježbe omogućuju otkrivanje ranjivosti koje bi inače bile nevidljive u normalnim uvjetima te daju sudionicima priliku za uvježbavanje i usavršavanje konkretnih mjera. Proces zahtijeva multidisciplinarnu suradnju gdje ne sudjeluju samo odjeli za upravljanje rizikom, već i IT, pravni, komunikacijski i operativni sektori. Rezultati simulacija također pružaju vrijedne informacije upravnim odborima i nadzornim tijelima.
Međutim, učinkovit plan kontinuiteta nije samo skup dokumenata, već mora biti duboko ukorijenjen u kulturu organizacije i svakodnevni rad. Redovita komunikacija, edukacija i vježbe doprinose tome da zaposlenici budu svjesni svojih uloga i brzo reagiraju u slučaju potrebe. To značajno povećava sposobnost organizacije za samoozdravljenje. Nadalje, planovi se moraju integrirati i s vanjskim partnerima i dobavljačima jer se poremećaji rijetko ograničavaju samo na granice jedne organizacije. Suradnja i koordinacija s trećim stranama ključni su dio sveobuhvatne strategije otpornosti.
Suradnja s dobavljačima i u lancu vrijednosti: izazov vanjskih ovisnosti
Vanjski dobavljači i partneri neizostavan su dio suvremenog poslovanja, ali istovremeno predstavljaju značajan rizik za operativnu otpornost. Organizacije ovise o mreži dobavljača, pružatelja usluga i drugih vanjskih subjekata čija stabilnost i otpornost izravno utječu na vlastiti kontinuitet. Ove ovisnosti često su složene i nedovoljno transparentne, što otežava identifikaciju i upravljanje rizicima. Učinkovito upravljanje lancem zahtijeva intenzivan i proaktivan pristup kojim se kartiraju rizici kroz cijeli lanac te implementiraju kontrolne mjere.
Upravljanje rizicima u lancu započinje jasnim ugovorima i dubinskom analizom prije sklapanja suradnji. Ugovorne obveze moraju jasno definirati aspekte operativne otpornosti poput planova kontinuiteta, sigurnosnih standarda i zahtjeva za izvještavanjem o incidentima. Ključno je i kontinuirano praćenje izvedbe i rizika dobavljača te prilagodba mjera prema potrebi. To se može provoditi kroz revizije, izvještaje i zajedničke vježbe koje jačaju ukupnu spremnost. Kompleksni lanci s višestrukim razinama povećavaju potrebu za dubinskim uvidom i stalnim upravljanjem rizicima.
Dinamika suradnje u lancu zahtijeva kulturu povjerenja i otvorenosti među svim uključenim stranama. Dijeljenje relevantnih informacija o rizicima i incidentima mora se poticati kako bi se omogućile pravovremene intervencije i spriječila eskalacija. Suradnja u inovacijama i smanjenju rizika može povećati otpornost cijelog lanca, osiguravajući ne samo vlastitu organizaciju nego i širi ekosustav. To podrazumijeva vodstvo i stratešku viziju koja prepoznaje suradnju u lancu kao ključni stup operativne otpornosti.
Upravljanje incidentima: brzina i učinkovitost kao kritični čimbenici
Upravljanje incidentima je proces u kojem organizacija adekvatno reagira na neočekivane poremećaje kako bi ograničila štetu i što prije obnovila kontinuitet. Učinkovitost u upravljanju incidentima ključan je faktor operativne otpornosti i može presuditi hoće li se događaj svesti na kontroliranu situaciju ili prerasti u krizu s velikim posljedicama. Potreban je jasan i praktičan plan odgovora na incidente u kojem su definirane uloge, odgovornosti i komunikacijski protokoli. Plan mora biti i dovoljno fleksibilan za razne vrste incidenata, od tehničkih kvarova do štete po ugledu.
Ključni aspekt upravljanja incidentima je brzina prikupljanja, analize i dijeljenja informacija. Rana detekcija i reakcija mogu znatno smanjiti posljedice incidenta, primjerice pravovremenim izoliranjem pogođenih sustava ili ciljanim obavještavanjem dionika. To zahtijeva napredne sustave nadzora i detekcije koji pružaju uvid u stanje sustava i procesa u realnom vremenu. Također je potrebna dobro obučena ekipa sposobna donositi odluke pod pritiskom i učinkovito surađivati – uključujući i vanjske dionike poput vlasti, dobavljača i korisnika.
Nakon incidenta ključno je provesti temeljitu evaluaciju u kojoj se analizira uzrok, ocjenjuje odgovor i identificiraju područja za poboljšanje. Naučene lekcije predstavljaju temelj za prilagodbu procedura i jačanje otpornosti. Promatrajući upravljanje incidentima ne samo kao reaktivni proces već i kao sastavni dio organizacijskog učenja, strukturalno se poboljšava operativna otpornost i organizacija postaje spremnija za buduće poremećaje.
Kultura i svijest: ljudski čimbenik u operativnoj otpornosti
Ljudski čimbenik često je presudan za uspjeh ili neuspjeh u operativnoj otpornosti. Organizacija može imati sofisticirane tehničke sustave i protokole, ali ako zaposlenici nisu pravilno educirani ili svjesni svoje uloge u osiguravanju kontinuiteta, otpornost ostaje ograničena. Stoga je ključno razviti snažnu kulturu upravljanja rizikom u kojoj je operativna otpornost temeljna vrijednost. Takva kultura potiče budnost, odgovornost i proaktivan pristup kod svih zaposlenika, bez obzira na funkciju ili poziciju.
Svijest se gradi kontinuiranim edukacijama i treninzima u kojima se zaposlenici upoznaju s rizicima, posljedicama poremećaja i pravilnim postupcima. Kroz scenarijske vježbe i simulacije zaposlenici postaju bolje pripremljeni za moguće incidente te uče učinkovito surađivati pod pritiskom. Također je važno da komunikacija o rizicima i incidentima bude transparentna i konstruktivna, s fokusom na učenje i unaprjeđenje, a ne na traženje krivaca.
Vodstvo ima ključnu ulogu u oblikovanju ove kulture. Voditelji moraju aktivno komunicirati važnost operativne otpornosti, jasno je integrirati u donošenje odluka i biti uzori u ponašanju. Promicanjem otvorenosti i nagrađivanjem odgovornog ponašanja stvara se okruženje u kojem otpornost nije samo apstraktni cilj nego živa komponenta svakodnevnog rada. Na taj način razvija se snažna sinergija ljudi, procesa i tehnologije koja čini temelj održive operativne otpornosti.
