„Katastrofa i co dalej?” – tak można by w skrócie podsumować problematykę związaną z zarządzaniem ciągłością działania w firmie, a dokładnie – z jego brakiem. Bo jeżeli firma zadaje sobie to pytanie w momencie katastrofy, to jest już zdecydowanie za późno.
Coraz więcej firm ma tego świadomość i zaczyna poszukiwać informacji na temat sposobów prewencji i przeciwdziałania różnego typu negatywnym zjawiskom, które mogłyby zaburzyć ich funkcjonowanie.
zarządzanie ciągłością działania a katastrofa Titanica
Do katastrof należą m.in. wielkie katastrofy naturalne, ataki terrorystyczne, incydenty środowiskowe, czy te związane z technologią, jak np. awarie sieci. Jak pokazała katastrofa Titanica – mogą się one wydarzyć w każdym momencie i mieć różne czasami mniej, czasami bardziej przewidywalne przyczyny.
Ze względu na rozmiar katastrofy Titanica i jej ogromne finansowe, społeczne i indywidulane skutki, historia ta jest „żywa” do dziś i wciąż rozpatrywane są jej potencjalne przyczyny. Przyjrzenie się im może być interesujące z perspektywy każdej firmy.
Z raportu amerykańskiej komisji badającej przyczyny wypadku Titanica i z innych doniesień wynika, że przyczyną zatonięcia statku były m.in.:
- złudne poczucie bezpieczeństwa (upowszechniana opinia o niezatapialności statku);
- przestarzałe przepisy (np. możliwość wykorzystywania radiostacji do nadawania osobistych depesz pasażerów);
- niewłaściwie określone priorytety (późniejszy dyrektor stoczni stwierdził: „Poświęciliśmy dwie godziny na dyskusję o dywanach w kabinach pierwszej klasy i 15 minut na problem szalup ratunkowych”);
- niewłaściwa komunikacja między poszczególnymi członkami załogi oraz członkami załogi a osobami decyzyjnymi (depesza o tym, że statek płynie w stronę pola gór lodowych z niewiadomych przyczyn nie dotarła na mostek kapitański),
- zmiany na stanowiskach na krótko przed wypłynięciem statku spowodowały niejasny podział obowiązków,
- brak potrzebnego sprzętu (np. drugi oficer przez pomyłkę zabrał lornetkę marynarzom z bocianiego gniazda);
- nietrafione oszczędności w postaci zmiany materiałów na tańsze (nity łączące poszczególne elementy statku zostały wykonane z gorszej jakości stopu);
- ignorowanie sygnałów ostrzegawczych (depesze informujące o potencjalnym zagrożeniu, znaczny spadek temperatury etc.);
- brak międzynarodowych patroli na północnym Atlantyku,
- arogancja i zbyt duża pewność siebie części osób decyzyjnych (czego efektem była m.in. zbyt duża prędkość statku);
- brak odpowiednio przeszkolonych fachowców (na statku nie było jednego z najlepszych w tamtym czasie radiotelegrafistów);
- tuszowanie incydentów (zapalenie się węgla w jednej z kotłowni statku jeszcze przed jego wypłynięciem naruszyło wodoszczelną gródź);
- niekorzystne czynniki zewnętrzne (m.in. uprzednie przewrócenie góry lodowej sprawiło, że, pokryta solą, nie była tak dobrze widoczna, a brak wiatru uniemożliwił dostrzeżenie obiektu na podstawie rozbijanych o niego fal).
Z tego krótkiego przeglądu wynika, że o katastrofie Titanica zadecydował szereg współwystępujących czynników. Ta i wiele innych katastrof pokazują, jak ważne dla ich uniknięcia i/lub radzenia sobie z nimi są:
- odpowiednia postawa, zaangażowanie i kompetencje osób decyzyjnych;
- umiejętność przewidywania, prewencji i przeciwdziałania różnego typu incydentom;
- kompetencje pracowników;
- wyraźnie określone zakresy odpowiedzialności;
- odpowiednie wyposażenie i narzędzia pracy;
- skuteczna komunikacja;
- stosowanie się do aktualnych regulacji prawnych.
Analizując powyższe czynniki nie jest trudno doszukać się analogii pomiędzy katastrofą Titanica, a katastrofą, która może przytrafić się każdej firmie – bez względu na jej wielkość i branżę, w której działa.
Budowanie długotrwałej odporności firmy i umiejętność przetrwania nie ograniczają się do przygotowania się i reagowania na zagrożenia środowiskowe takie, jak np.: trzęsienia ziemi, huragany, powodzie i wiele innych. Firmy, które to rozumieją, budują swoją odporność biorąc pod uwagę również obszar biznesu i zadają sobie pytanie o to, na ile dobrze są przygotowane na to, co może się wydarzyć w przyszłości.
„Lepiej uczyć się na cudzych błędach”
Każda firma stoi w obliczu zagrożenia niespodziewanym zakłóceniem jej działalności, nie każda jednak o tym wie. Świadomość osób zarządzających i pracowników, określona „kultura gotowości” wobec tego, co nieprzewidywalne oraz odpowiednia wiedza i narzędzia mogą jej zapewnić zdolność szybkiego i skutecznego reagowania i zadecydować o jej przetrwaniu.
Umiejętność przewidywania i przygotowanie na najgorszy możliwy scenariusz rozwoju sytuacji są w takich momentach kluczowe.
Nigdy nie jest tak, że danego wydarzenia nie poprzedzają pewne sygnały i pomniejsze wydarzenia „ostrzegawcze”. Trzeba je tylko umieć dostrzec i być na nie przygotowanym. Na pewno nie sprzyja im postawa typu „jakoś to będzie” oraz ignorowanie, czy brak świadomości zagrożeń, niezbędnej wiedzy, a także brak konkretnych narzędzi, by w razie zakłócenia działalności firmy, szybko powrócić do normalnego funkcjonowania. Potwierdza to nie tylko katastrofa Titanica, ale też wiele innych katastrof zarówno o charakterze naturalnym, jak i biznesowym.
Umiejętność wyciągania wniosków z przeszłości i mądrego wykorzystywania ich w przyszłości to jeden z kluczowych czynników przetrwania i osiągnięcia sukcesu. I mimo że wiele incydentów na pierwszy rzut oka może się wydawać niewielkimi i nieistotnymi, to mogą one mieć znaczący wpływ na funkcjonowanie firmy, co sprawia, że zarządzanie ciągłością działania jest ważne przez cały czas.
Budowanie biznesowej odporności
Każda firma może budować swoją biznesową odporność na „własną rękę” i/lub za pomocą zasobów zewnętrznych takich, jak np.:
1) normy ISO 22301 – czyli swoistego drogowskazu jak najlepiej zabezpieczyć ciągłość działania firmy;
2) osób, które w danym obszarze posiadają niezbędną wiedzę i doświadczenie.
Pomocni mogą okazać się tutaj trenerzy i auditorzy CIS-CERT, którzy:
a) podzielą się wiedzą i przykładami z tak zwanej „pierwszej ręki”,
b) nauczą jak najlepiej budować system zarządzania ciągłością działania w oparciu o normę,
c) na przykładach innych firm pokażą co się sprawdza, a jakich błędów należy unikać,
d) dadzą do ręki konkretne narzędzia, które będzie można zastosować u siebie w firmie.
Czym jest norma ISO 22301 i w jaki sposób może pomóc budować biznesową odporność
Norma PN-EN ISO 22301:2020-04 (Bezpieczeństwo i odporność – Systemy zarządzania ciągłością działania – Wymagania) porządkuje i zabezpiecza obszar związany z zachowaniem ciągłości działania firmy w kontekście jej wewnętrznych i zewnętrznych zagrożeń.
Ta międzynarodowa norma została opracowana po to, by – poprzez określone wymagania – pomóc organizacjom zbudować taki system zarządzania, który pozwoliłby firmie:
- ochronić się przed incydentami zakłócającymi jej działanie,
- zmniejszyć prawdopodobieństwo ich wystąpienia;
- przygotować się na nie;
- odpowiednio na nie zareagować;
- powrócić do normalnego funkcjonowania w przypadku ich wystąpienia.
Dzięki swojej strukturze może być stosowana w różnych firmach, czy organizacjach niezależnie od ich wielkości, lokalizacji, czy branży. Ponadto jest skonstruowana analogicznie do innych norm ISO, dzięki czemu jest łatwa w użyciu.
Norma ISO 22301 zapewnia:
- ramy do planowania, ustanawiania, wdrażania, obsługi, monitorowania, przeglądu, utrzymania i ciągłego doskonalenia Systemu Zarządzania Ciągłością Działania (SZCD);
- lepsze zrozumienie i spójność z innymi systemami zarządzania takimi, jak: ISO 9001 (zarządzanie jakością), ISO 14001 (zarządzanie środowiskiem) i ISO 27001 (zarządzanie bezpieczeństwem informacji).
Czym różni się zarządzanie ciągłością działania (ISO 22301) od zarządzania ryzykiem (ISO 31000)?
Zarówno zarządzanie ciągłością działania, jak i zarządzanie ryzykiem mają na celu zapewnienie ochrony. Podstawowa różnica między nimi polega na tym, że zarządzanie ryzykiem odnosi się do zagrożeń i szans, podczas gdy zarządzanie ciągłością działania polega na opracowywaniu planów naprawczych, które będzie można wykorzystać w sytuacjach zakłócających działania biznesowe i umożliwiających powrót do normalnego funkcjonowania.
Jak widać na powyższym schemacie zarządzanie ryzykiem obejmuje swym zakresem zarówno zarządzanie ciągłością działania, zarządzanie bezpieczeństwem informacji oraz częściowo zarządzanie technologiami informacyjnymi.
Warto nadmienić, że zarządzaniu ryzykiem przypisuje się coraz większe znaczenie. Znalazło to swój wyraz m.in. przy nowelizacji norm ISO takich, jak np.: ISO 9001:2015, czy ISO 14001:2015.
Integracja systemów zarządzania
Norma ISO 22301 jest spójna z innymi normami takimi, jak na przykład: ISO 9001: 2015 (zarządzanie jakością) i ISO 14001: 2015 (zarządzanie środowiskiem), czy ISO 27001 (bezpieczeństwo informacji).
Podobnie jak na wspomniane wyżej normy, na standard ISO 22301 składają się:
- zakres;
- odniesienia normatywne;
- terminy i definicje;
- kontekst działania organizacji;
- przywództwo;
- planowanie
- wsparcie;
- funkcjonowanie
- ocena efektów działania
- doskonalenie.
Owo ujednolicenie norm z założenia ma sprzyjać integracji systemów zarządzania, gdyż wiąże się to z konkretnymi korzyściami dla firmy takimi, jak np.:
1. Ujednolicenie systemu zarządzania.
2. Kompletność, synchroniczność i dopasowanie wprowadzanych rozwiązań.
3. Spójność rozwoju firmy.
4. Uproszczenie dokumentacji.
5. Oszczędność czasu i środków potrzebnych na realizację wymagań zawartych w 2 i/lub 3 osobnych normach.
6. Zmniejszenie kosztów procesu certyfikacji zintegrowanego systemu zarządzania.
I tak na przykład firma może dążyć do połączenia systemów zarządzania ciągłością działania i zarządzania ryzykiem. Dzięki takiemu połączeniu staje się zdolna do tego, aby:
- w kompleksowy sposób identyfikować potencjalne zagrożenia i unikać katastrof;
- identyfikować nieprzewidywalne okoliczności;
- określać procedury, które pozwolą zminimalizować skutki katastrofy dla firmy, jej otoczenia i interesariuszy, jeżeli, mimo podejmowanych działań, do niej dojdzie;
- opracowywać procedury, które pozwolą jej jak najszybciej przywrócić korzystne dla siebie i otoczenia status quo.
Jak możemy pomóc w budowaniu biznesowej odporności firmy (podejście procesowe, warsztatowe i nastawione na konkretne wyniki)
Zależy nam na sensownym działaniu własnym i podmiotów z nami współpracujących, dlatego nasze szkolenia nastawione są na praktykę i konkrety, a przeprowadzane przez nas audyty odbywają się w oparciu o rzeczowy kontakt, dobrą komunikację, wsparcie na każdym etapie współpracy oraz partnerską atmosferę.
Pomagamy w całościowym i procesowym podejściu do zagadnień ciągłości działania i analizy ryzyka. Dla nas każda organizacja jest wyjątkowa dzięki przyjętej przez siebie filozofii działania, postawionym celom i zachodzącym w niej procesom. Dlatego realizowane przez nas szkolenia odpowiadają na rzeczywiste potrzeby firm, dają do ręki konkretne narzędzia, które można sprawdzić i zastosować bezpośrednio u siebie w organizacji, i dlatego też są oceniane na 9,5 – 10 pkt. na skali 10-stopniowej.
Z naszego doświadczenia wynika, że, aby firma osiągnęła sukces, nieodzowne jest zaangażowanie Zarządu i managerów różnego szczebla.
W związku z powyższym proponujemy Państwu warsztaty „szyte na miarę” adresowane do Zarządu i obejmujące swym zakresem podstawową wiedzę na temat ciągłości działania, jej znaczenia dla funkcjonowania firmy oraz na temat konkretnych narzędzi i metodologii, którą można zastosować u siebie firmie.
Dla osób bezpośrednio odpowiedzialnych za prawidłowość zachodzących w firmie procesów tj. dla Pełnomocników lub Managerów, mamy propozycję szkolenia „Manager ciągłości działania wg ISO 22301”.
Celami tego szkolenia są:
- nabycie wiedzy na temat zasad wdrożenia skutecznego systemu zarządzania ciągłością działania procesów w oparciu o ryzyko;
- poznanie metod i technik minimalizujących czasy odtworzeniowe po katastrofie;
- nabycie praktycznych umiejętności pozwalających zapewnić ciągłość działania firmy;
- zapoznanie się z modelem normy ciągłości działania;
- zapoznanie się z interpretacją wymagań normy ISO 22301.
Jeżeli uważasz, że ten rodzaj wiedzy mógłby Ci się przydać w pracy, przejdź do strony ze szczegółowym opisem szkolenia:
„Manager ciągłości działania wg ISO 22301”.