Kontinuitets-planlegging, eller business continuity planning (BCP), handler om å sikre driften av selskapet selv om uforutsette hendelser skulle oppstå. Dette er et forholdsvis nytt og voksende område innen risk management.

Javel sier du, er ikke dette en selvfølge?
Jo, det er det for mange ledere, men som på så mange andre områder (f.eks HMS), så er veldig mye overlatt til tilfeldighetene. Selv beskyttelse av tap av data (backup) er det overraskende mange som ikke har tenkt over.
Dette innlegget kommer som en følge av mine opplevelser på en dugnadsjobb, der vi flyttet for et advokatkontor i Oslo i desember 2012. Her opplevde jeg en del småting som til sammen ga meg inntrykket av at BCP ikke var systematisk innført i virksomheten.
Det finnes ingen internasjonal standard for BCP, men britene har laget en standard som heter BS 25999, Vi tar utgangspunkt i denne for å belyse hvordan et slikt arbeide kan gjøres.
1. Analyse av virksomheten
For det første må virksomheten ta stilling til hva som er kritisk og ikke-kritiske operasjoner. Noen forhold er kritiske på grunn av økonomiske konsekvenser, andre fordi de er lovpålagt. For hvert kritisk område må det besluttes hva som er akseptabel tidsperspektiv for gjenopprettelse, samt hva som er aksetable kvalitet på gjenopprettelsen.
Advokatfirmaet hadde et klassisk syn på hva som var kritiske operasjoner, nemlig at sjefen, Høyesterettsdommeren og stjerneadvokaten, skulle fortsette å jobbe uhindret. Derimot var det helt uteglemt at virksomheten håndterte konfidensiell informasjon som ikke burde vært på avveie. Eksempler på dette ble funnet av flyttepersonell, blant annet videoer av vitneavhør med tydelig påskrift "konfidensielt".
2. Analyse av trusler
Virksomheten må også gjøre en analyse av hvilke trusler som kan true kontinuiteten. En flytting av kontorlokaler er ganske åpenbart en trussel, da det nødvendigvis vil gå med mye tid til å gjennomføre den fysiske flyttingen. Mest kritisk er det at man kan plugge nettverksledningen inn i veggen og umiddelbart få tilgang til det velkjente nettverket.
Men, trusler er mye mer enn flytting. Fra min tid i Avinor, ver vi godt forberedt på et eventuelt strømbrudd, bortfall av radar- eller radiodekning.
Men, hva gjør man når et jordskjelv rammer Fukushima, når flodbølgen rammer Phuket, når orkanen med styrke 5 raser innover New Orleans, når Ebola epedemien setter en hel hovedstad på hodet eller når et ekstra hissig datavirus raser over verden?
Vi skjønner at kun fantasien setter grensene for hva man kan ta med i en evaluering ab mulige trusler.
3. Design av løsninger
Når man kjenner til mulige hendelser og hva dette kan bety for virksomheten, så kommer tidspunktet for å designe løsninger for å forhindre, eller minimalisere effekten av hendelsen.
Typiske løsninger vil være slikt vi så under 22. juli terroren i Oslo, der de berørte departementene raskt fant en sekundær arbeidsplass hos sine direktorater andre steder i byen.
Av ekstreme og kostbare løsninger er bygging av diker rundt storbyer eller å bygge jordskjelvsikre bygninger. Skredbeskyttere over jernbanen er en mer lokal variant.
Advokatformaet hadde gjort stor innsats for å sørge for at sjefen hadde et kontor å jobbe på umiddelbart, mens resten av advokatene virret rundt flyttecrewet hele dagen og ventet på kontoret sitt. Men, en skikkelig oppryddig i skuffer og skap, samt rundt kopimaskinen hadde de ikke tenkt på.
4. Implementering
Denne fasen handler om å implementere løsningene man har designet. Dette henger sammen med vurdering av akseptabel risiko i den første vurderingen. Er løsningen lønnsom i forhold til forventet tap?
5. Testing og akseptering
For å være i stand til å teste planene om kontinuitet, så må man definere scenarioer om hva som vil være konsekvensene av en hendelse. Deretter handler det om å simulere denne hendelsen, og betrakte hva som skjer.
Det er umulig å simulere fysisk en naturkatastrofe, så testene er ofte redusert til skrivebords øvelser.
6. Vedlikehold
Med jevne mellomrom må planene gjennomgåes på nytt og oppdateres.

Som med andre områder av risk management, så er ikke BCP spesielt komplisert. Manglene oppstår ved at prinsippene ikke følges systematisk i virksomhetene. Mange konsulenter har derfor skodd seg godt på å hjelpe virksomheter som er sårbare med slike.
Og hvem er det som tjener på alt dette i det lange løp?
Svarene er mange.