Fokus på Kontinuitetshantering

I detta inlägg är det fullt fokus på kontinuitetshantering och du får lära dig betydelsen av kontinuitetshantering, vad det är, aktuella nyheter i ämnet och hur ni kan utveckla er egen förmåga inom kontinuitetshantering.

Vad är kontinuitetshantering?

Fredag morgon 17 mars år 2000 rullade en åskstorm in över staden Albuquerque i New Mexico, USA. Ett blixtnedslag i en elledning orsakade lokala fluktuationer i strömförsörjningen till bl.a. en av Philips fabriker med tillverkning av microchips till mobiltelefoner. Fläktar till en av ugnarna stannade vilket i sin tur ledde till att ugnen överhettades och började brinna. Branden aktiverade ett automatiskt släcksystem och på mindre än 10 minuter var branden släckt. Händelsen nådde inte ens lokalmedia men skulle visa sig få stora konsekvenser för två skandinaviska mobiltelefontillverkare.

Philips fabrik i Albuquerque

År 2000 stod Ericsson och Nokia tillsammans för majoriteten av omsättningen från den drabbade fabriken. Måndagen efter branden fick båda ett telefonsamtal från Philips som meddelade om branden och att det skulle innebära ca en veckas försening av leveranser av microchips. Nokias inköpschef eskalerade direkt nyheten internt varpå leverans av komponenterna sattes under övervakning och dagliga telefonsamtal till Philips genomfördes för statusuppdatering kring händelsen. Nokia erbjöd även att skicka ingenjörer för att hjälpa till att få igång produktionen igen.

Inga personer skadades i branden men tillverkningen av chipsen sker i ett s.k. renrum med luftfilter för att hålla ute minsta dammkorn. Under branden hade brandgaser läckt in och brandmän och personal hade gått in med vanliga kläder och skitiga stövlar för att hantera branden. Miljontals chips hade förstörts och rummet behövde saneras vilket skulle visa sig ta betydligt längre tid än förväntat.

Exempel på renrum

Det tog två veckor innan Philips förstod omfattningen av avbrottet och ringde än en gång Nokias inköpschef för att förklara situationen. De hade nu förstått att det skulle ta flera veckor att få igång produktionen och att leveranserna av chips skulle försenas månader. Nokia beräknade att produktionen av ca fyra miljoner mobiltelefoner skulle påverkas mitt under blomstrande försäljning. De satte snabbt ihop ett team om 30 personer för att lösa situationen som gjorde allt från att designa om chips till att öka produktionen och köpte chips från andra leverantörer. Vid samma tidpunkt hade Ericsson fortfarande inte förstått allvaret i situationen. Man hade fått samma samtal som Nokia tre dagar efter branden men inte eskalerat situationen internt. Chefen för konsumentprodukter blev varse om händelsen först i början av april. Då var Nokias VD och styrelseordförande redan inblandade och på väg till Philips huvudkontor i Amsterdam. Nokia gjorde allt för att säkra tillgången av microchips och för en period samarbetade man med Philips som om man vore samma företag.

När Ericsson väl bad om förhöjd kapacitet var det för sent, Nokia hade redan köpt upp all kapacitet i hela världen. Ericsson kunde inte förse sitt behov av chips och kunde därför inte producera mobiltelefoner i enlighet med marknadens efterfrågan. Detta resulterade i minst $400 miljoner i förlorad omsättning. En del av detta kunde hämtas hem via försäkring men sex månader efter branden hade Ericssons marknadsandelar sjunkit med 3 % och Nokias ökat med samma andel. I slutet av år 2000 redovisade Ericsson en förlust om $2,34 miljarder inom mobiltelefoni. I april 2001 drar Ericsson sig ur marknaden och går istället ihop med Sony i ett joint venture. Hände allt detta pga ett åskoväder i USA?

Detta är ett case som verkligen belyser vad kontinuitetshantering handlar om – ett systematiskt arbete med att utveckla sin förmåga att fortsätta bedriva sin verksamhet på en tolerabel nivå oavsett vilken typ av störning som organisationen utsätts för. Det är även ett av få case som tydligt visar nyttan av kontinuitetshantering där Nokia i slutändan till och med gynnades av händelsen genom sina förberedelser och handlingskraft vilket gjorde att de vann marknadsandelar. Det lär oss också att fysiska tillgångar går att försäkra men inte marknadsandelar.

MSB: Illustrering av syftet med kontinuitetshantering

Ett mer aktuellt case är materialbristen inom sjukvården i flera regioner där över 480 operationer har ställts in. Detta är mycket beaktansvärt eftersom sjukvården är en av våra högst prioriterade samhällsviktiga verksamheter och att det inträffar trots att man identifierat leveransproblem som en risk vid byte av leverantör.

Aktuellt inom kontinuitetshantering

Jag sitter i skrivande stund (tisdag 5 november) på ett tåg på väg hem från Mötesplats Kontinuitetshantering, en seminariedag arrangerad av MSB för att belysa goda exempel på kontinuitetshantering och sprida sin nya verktygslåda med ett omfattande stödmaterial inom ämnet.

Reflektioner från dagen är att det finns gott om goda exempel på kontinuitetshantering i Sverige. Det är tydligt att näringslivet ligger före men MSB:s arbete med Risk- och sårbarhetsanalyser och civilt försvar har ökat kompetensen kring och nästan flyttat fokus från riskhantering till kontinuitetshantering.

Camilla Asp, Avdelningschef Krisberedskap & Civilt försvar vid MSB, hälsade välkommen genom att lyfta betydelsen av kontinuitetshantering och vilket ansvar vi som arbetar med kontinuitetshantering har för ett fungerande samhälle. Därefter följde ett antal parallella seminarier som bl.a. bjöd på:
– hur man kan öka engagemanget för kontinuitetshantering i organisationen
– hur risk- och kontinuitetshantering kompletterar varandra
– ett exempel från en verklig händelse där kontinuitetsplanen räddade organisationen
– hur man kan öva sin kontinuitetsplan

Häromdagen publicerades den reviderade standarden, ledningssystem för kontinuitetshantering, ISO 22301:2019. I den reviderade versionen har terminologin moderniserats och det är en tydligare struktur som på ett bättre sätt integreras med exempelvis ISO 9001 och 14001. Dessutom har antalet krav för certifiering blivit färre. Jag är stolt över att ha bidragit i utvecklingen av denna standard genom engagemang i SIS/TK 494 Samhällssäkerhet. Ett första utkast på svensk översättning är framtagen och kommer att publiceras inom kort. Vi håller även på med en revidering av den svenska vägledningen SS 22304 där fokus denna gången handlar om att belysa hur man behöver tänka annorlunda kring kontinuitetshantering under höjd beredskap.

Den finansiella sektorns privat-offentliga samverkan (FSPOS) har också nyligen reviderat sin vägledning för kontinuitetshantering som kan laddas ner via deras webbplats. Där finns även en självskattning med tydlig hänvisning till var man kan hitta stöd i vägledningen samt en tillhörande interaktiv utbildning.

Hur utveckla en förmåga inom kontinuitetshantering?

Det finns flera arbetssätt för kontinuitetshantering. Nedan utgör rekommenderad process vilken följer ISO 22301.

1. Konsekvensanalys
Grunden i kontinuitetshantering är konsekvensanalysen vilken innefattar identifiering av de kritiska aktiviteter som organisationen utför för att tillhandahålla varor eller tjänster samt de resurser som behövs för att utföra dessa aktiviteter. Prioritering av aktiviteter kan göras efter maximal tolerabel avbrottstid (MTA), vilket är den tidsram inom vilken konsekvensen av att inte återuppta aktiviteten blir otolerabel. För att bestämma MTA brukar jag använda tankesättet ”cry or die”, det vill säga hur lång tid kan ett avbrott fortgå innan kunderna/användarna blir irriterade och klagar (cry) samt hur lång tid det tar innan en överhängande risk för organisationens överlevnad uppstår (die). MTA bör vara någonstans mellan cry och die. I konsekvensanalysen ingår även att fastställa beroenden av leverantörer och samarbetspartners och inbördes beroenden mellan prioriterade aktiviteter.

2. Riskbedömning
I nästa steg görs en riskbedömning för varje, i konsekvensanalysen identifierad, kritisk aktivitet. I detta steg identifieras vilka händelser som kan leda till avbrott i respektive aktivitet och riskreducerande åtgärder vidtas. Här används lämpligtvis riskbedömningsmetoden Bow-Tie där både möjliga orsaker till avbrott och barriärer för att förhindra att orsakerna leder till avbrott identifieras samt vilka möjliga konsekvenser ett avbrott kan leda till och barriärer för att minska dessa. Om organisationen har separata team för risk- och kontinuitetshantering bör detta steg genomföras tillsammans.

3. Kontinuitetsstrategier
Baserat på konsekvensanalysen och riskbedömningen bestäms kontinuitetsstrategier som syftar till att återupprätta prioriterade aktiviteter inom MTA. Identifiering av strategier kan t.ex. göras utifrån att minska sannolikheten för ett avbrott eller minska tiden för ett avbrott eller att minimera konsekvenserna av ett avbrott. Använder ni Bow-Tie för riskbedömning så kan ni använda barriärerna som kontinuitetsstrategier. Exempel på kontinuitetsstrategier är alternativa lokaler eller redundant försörjning av en viss resurs. Här ingår även tecknande av avtal för att vid ett avbrott kunna ta i bruk en alternativ resurs.

4. Kontinuitetsplan
Nu är ni redo att upprätta kontinuitetsplaner. Här specifieras kontinuitetsstrategierna utifrån vad som ska göras, vem som ska göra det och hur det ska göras t.ex. i en checklista. Roller och ansvar tydliggörs och kontaktuppgifter dokumenteras. Exempel på kontinuitetsplan vid otillgängliga lokaler:
– Beslut att aktivera kontinuitetsplan
– Kontakta ”hotell lokal” (avtalad leverantör av alternativ lokal) kontaktperson & telefonnummer
– Kommunicera till berörd personal via sms, mail och via linjechef.

5. Utbildning & övning
Kontinuitetsplanerna bör implementeras genom både utbildning och övning. Först genom utbildning av berörd personal. Övningen utgör en verifiering av er förmåga att upprätthålla kontinuitet i verksamheten. Baserat på syfte och mognadsgrad kan olika övningsmetoder användas, allt från enklare skrivbordsövning till avancerad simuleringsövning. Alla övningar bygger på någon typ av scenario, t.ex. bortfall av en eller ett fåtal kritiska resurser, som väljs utifrån syfte och mål med övningen. Varje övning bör följas upp och lärdomar och utvecklingsbehov dokumenteras.

6. Utvärdering och ständiga förbättringar – PDCA
Kontinuitetshantering är ett iterativt arbete som ständigt behöver utvärderas och förbättras efter lärdomar och ändrade förutsättningar. Därför behöver samtliga steg återupprepas kontinuerligt. Förslagsvis skapas ett program för kontinuitetshantering där de olika stegen fördelas över en ett- eller två-årsperiod.

Program för kontinuitetshantering

Fortsatt läsning

Vill du läsa mer om kontinuitetshantering rekommenderas The resilient Enterprise av Yossi Sheffi och Antifragile av Nassim Taleb.

Väckte det ditt intresse?

Kommentera gärna om det väckte tankar eller frågor och dela gärna detta inlägg via sociala medier om du tycker det är värt att spridas!

Välj blogg och få våra viktigaste inlägg en gång i veckan direkt till din inkorg