Przepis na skuteczną i szybką reakcję

Aby  przygotować organizację na wyzwania związane z kryzysem bezpieczeństwa, niezbędne jest wdrożenie skutecznych strategii oraz planów. W związku z tym zarządzanie kryzysowe i planowanie ciągłości biznesu stały się  tak istotne. Każda firma, niezależnie od wielkości i branży, musi je wdrożyć.

W artykule tym przedstawimy szczegółowy proces wdrożenia tych strategii, omówimy normy ISO 22301 oraz 22313, przeanalizujemy, kto powinien być odpowiedzialny za poszczególne aspekty zarządzania kryzysowego. Zaprezentujemy różnice między zarządzaniem kryzysowym a zarządzaniem ciągłością działania. Dodatkowo szczegółowo przeanalizujemy konkretne przykłady, ilustrujące kroki podejmowane przed, w trakcie i po kryzysie.

Zarządzanie kryzysowe a zarządzanie ciągłością działania: różnice

Chociaż zarządzanie kryzysowe i zarządzanie ciągłością działania są ze sobą ściśle powiązane, mają różne cele i zakresy działania:

Zarządzanie kryzysowe: Skupia się na natychmiastowej reakcji na kryzys oraz minimalizacji jego skutków. Jest to proces operacyjny, który ma na celu zapewnienie ochrony życia, mienia, środowiska oraz reputacji organizacji. Zarządzanie kryzysowe obejmuje działania takie jak ewakuacja, akcje ratunkowe, zarządzanie komunikacją kryzysową oraz koordynacja działań zewnętrznych służb.

Zarządzanie ciągłością działania: Jest to proces długoterminowy, który ma na celu zapewnienie, że organizacja jest w stanie kontynuować swoje kluczowe operacje podczas i po wystąpieniu zakłócenia. Koncentruje się na przygotowaniu planów awaryjnych, które umożliwiają szybki powrót do normalnych operacji, minimalizując przerwy w działalności.

Warto również wspomóc się Normami ISO, które są międzynarodowymi standardami, dostarczającymi nam ram do efektywnego zarządzania ciągłością działania i zarządzania kryzysowego.

ISO 22301:2019 – System Zarządzania Ciągłością Działania (BCMS): Jest to norma, która określa wymagania dotyczące planowania, wdrażania, utrzymania i ciągłego doskonalenia systemu zarządzania ciągłością działania w organizacji. Składa się z kilku kroków Są nimi: analiza wpływu na biznes (BIA), ocena ryzyka, opracowywanie i wdrażanie planów ciągłości działania, a także regularne testowanie tych planów. Norma ta jest szczególnie istotna dla organizacji, które muszą spełniać wymagania prawne lub regulacyjne dotyczące ciągłości działania.

ISO 22313:2020 – Wytyczne dotyczące zarządzania ciągłością działania: Jest to norma uzupełniająca ISO 22301, która dostarcza szczegółowych wytycznych dotyczących wdrożenia systemu zarządzania ciągłością działania. Oferuje najlepsze praktyki w zakresie analizy ryzyka, opracowywania procedur operacyjnych, zarządzania zasobami i komunikacji podczas kryzysów. ISO 22313 kładzie duży nacisk na aspekty ludzkie zarządzania kryzysowego, takie jak szkolenia, rozwój kompetencji oraz zaangażowanie wszystkich poziomów organizacji.

ISO 22361 – to międzynarodowy standard opracowany przez Międzynarodową Organizację Normalizacyjną (ISO). Dokument ten zawiera wskazówki dotyczące identyfikowania kryzysu, planowania i przygotowania organizacji do zarządzania sytuacjami kryzysowymi (w tym reagowania w trakcie i po ich wystąpieniu).

Norma ISO 22361 adresowana jest przede wszystkim do kierownictwa najwyższego szczebla we wszystkich rodzajach organizacji – od instytucji publicznych, przez przedsiębiorstwa, wielkie korporacje po organizacje non-profit.

Zespół zarządzania kryzysowego

Skuteczne zarządzanie kryzysowe wymaga zaangażowania zespołu, który ma jasno określone role i odpowiedzialności. Taki zespół powinien być multidyscyplinarny. W działania powinni być zaangażowani przedstawiciele różnych działów organizacji.  Pozwala to na efektywną koordynację działań i szybkie reagowanie na zmieniającą się sytuację.

Zespół odpowiedzialny za reagowanie na sytuacje kryzysowe oraz proces odzyskiwania powinien składać się z różnorodnych specjalistów, którzy wniosą swoje unikalne kompetencje i doświadczenie. Kluczową rolę w takiej grupie pełnią osoby zajmujące się zarówno operacjami, jak i zarządzaniem zasobami oraz komunikacją. W jego skład powinni wejść Operations Manager, który koordynuje codzienne działania i dba o płynność operacyjną, Facilities Manager odpowiedzialny za infrastrukturę oraz zasoby fizyczne, a także HR Manager, który zadba o kwestie kadrowe i morale zespołu. Niezbędna jest także obecność IT Managera, który nadzoruje infrastrukturę technologiczną, zapewniając szybkie przywrócenie systemów. Niezwykle ważny jest również aktywny udział Dyrektora Finansowego, który nadzoruje kwestie budżetowe i alokację środków, oraz Marketing/PR Managera, odpowiadającego za komunikację zewnętrzną, zarządzanie reputacją i kontakt z mediami.

Ważne jest także zaangażowanie przedstawicieli pracowników, którzy mogą zapewnić cenny wgląd z perspektywy personelu. Współpraca tych osób gwarantuje efektywne zarządzanie procesem odzyskiwania oraz szybkie i skuteczne reagowanie na wyzwania.

Co jest istotne, czyli podstawowe elementy planów

Pierwszym krokiem we wprowadzaniu skutecznych planów jest przeprowadzenie dokładnej analizy ryzyka. Polega ona na identyfikacji potencjalnych zagrożeń, które mogą wpływać na organizację. Istotna jest również ocena ich prawdopodobieństwa i potencjalnych skutków. Skąd mogą pochodzić zagrożenia? Podział wygląda następująco:

Zewnętrzne:

• pożar, powódź, huragan,
• awaria dostawcy – elektryczność, telekomunikacja,
• natura ludzka – terroryści, hakerzy.

Wewnętrzne:

• problemy z obiektem – pękniecie rury,
• awarie sprzętu – awaria serwerów,
• niezadowolony personel, strajk.

Aby zapewnić obiektywną ocenę ryzyka, wykorzystuje się metodykę RATVIL, która składa się z sześciu typowych elementów procesu oceny ryzyka.

1. Risk

Ryzyko: prawdopodobieństwo, że określone zagrożenie wykorzysta daną podatność

2. Asset

Aktywa: każda osoba, obiekt, materiał lub informacja, która ma pozytywną wartość dla firmy

3. Threat

Zagrożenie: gdy przeciwnik ma możliwość i zamiar naruszenia bezpieczeństwa

4. Vulnerability

Podatność: słaby punkt zasobów, który w pewnym momencie kryzysu może zostać wykorzystany przez zagrożenia

5. Impact

Wpływ (konsekwencja): ocenianie konsekwencyjne określonego wyniku, które mogą wynikać z

wykorzystania słabych punktów przez zagrożenia

6. Likelihood

Prawdopodobieństwo: szansa, że coś się wydarzy, niezależnie od tego czy jest zdefiniowana,

zmierzona lub oszacowana obiektywnie bądź subiektywnie

Analiza wpływu na biznes (BIA), czyli jak przetrwać kryzys?

Gdy już znamy ryzyka, wykonujemy analizę wpływu na biznes (BIA), która jest fundamentalnym narzędziem w zarządzaniu ciągłością działania. Umożliwia organizacjom identyfikację krytycznych procesów, ocenę potencjalnych skutków ich zakłócenia oraz opracowanie skutecznych planów awaryjnych. BIA pomaga w zrozumieniu, które aspekty działalności są najbardziej narażone na zakłócenia i jakie działania należy podjąć, aby zminimalizować ich wpływ.

W połączeniu z analizą ryzyka BIA stanowi fundament skutecznego zarządzania kryzysowego i zapewnia organizacji ciągłość działania nawet w przypadku wystąpienia nieprzewidzianych wydarzeń Dzięki BIA, organizacje mogą nie tylko reagować na kryzysy, ale również proaktywnie zarządzać ryzykiem, co jest niezbędne do utrzymania stabilności i długoterminowego sukcesu.

Najważniejsze etapy BIA:

Identyfikacja procesów biznesowych:

Pierwszym krokiem w BIA jest rozpoznanie wszystkich procesów biznesowych realizowanych w organizacji. Na tym etapie ważne jest zrozumienie, które z nich są najważniejsze dla utrzymania działalności firmy i które generują największe przychody lub wywierają wpływ na klientów.

Określenie punktów krytycznych:

Dla każdego procesu biznesowego należy określić, jakie są jego punkty krytyczne – zasoby, technologie, ludzie, dane – bez których nie może on funkcjonować. Ważne jest również zidentyfikowanie zależności między różnymi procesami, co pozwala na lepsze zrozumienie potencjalnego wpływu zakłócenia jednego na pozostałe.

Ocena skutków zakłóceń:

W tym kroku analizuje się potencjalne skutki zakłócenia każdego z krytycznych procesów. Ocena ta obejmuje zarówno skutki finansowe (utracone przychody, koszty dodatkowe), jak i niefinansowe (wpływ na reputację, zgodność z przepisami, relacje z klientami). Celem jest określenie maksymalnego dopuszczalnego czasu przestoju (MTPD – Maximum Tolerable Period of Disruption) oraz poziomu akceptowalnego ryzyka.

Określenie priorytetów przywracania:

Na podstawie wyników BIA ustala się, które procesy biznesowe muszą być przywrócone w pierwszej kolejności po zakłóceniu. Są one nazywane krytycznymi. Definiuje się dla nich minimalne wymagania dotyczące zasobów niezbędnych do ich przywrócenia (Minimum Business Continuity Objective – MBCO).

Opracowanie strategii ciągłości działania:

Wyniki BIA są podstawą do opracowania strategii ciągłości działania. Na podstawie zebranych danych i informacji przygotuje się dla organizacji Plan Ciągłości Działania. Na tym etapie definiuje się konkretne kroki, które należy zrobić  w przypadku zakłócenia działalności, aby jak najszybciej przywrócić krytyczne procesy.

Strategie te mogą obejmować m.in. rozwiązania techniczne, takie jak kopie zapasowe i redundancja, jak również procedury organizacyjne, takie jak przeszkolenie pracowników. Należy opracować scenariusze, dzięki którym w przypadku wystąpienia sytuacji kryzysowej będziemy działali w sposób strukturyzowany, minimalizując straty.Dzięki temu skrócimy czas wznowienia krytycznych procesów i zasobów.

Wdrożenie zarządzania kryzysowego i ciągłości działania w praktyce
Aby lepiej zrozumieć, jak zarządzanie kryzysowe i ciągłość działania są wdrażane w praktyce, przedstawiam przykłady, które ilustrują działania podejmowane przed, w trakcie i po kryzysie.

1. Firma X: Reakcja na pandemię COVID-19

Przed kryzysem:

Firma X przeprowadziła kompleksową analizę ryzyka, która zidentyfikowała pandemię jako potencjalne zagrożenie dla jej działalności. Opracowano scenariusze działań, w tym np. procedury pracy zdalnej i zabezpieczenia łańcucha dostaw z zagranicy.

Wdrożono system zarządzania ciągłością działania zgodny z normą ISO 22301, który obejmował regularne szkolenia pracowników, odpowiednie zabezpieczenie sprzętu IT oraz testy procedur awaryjnych.

W trakcie kryzysu:

W momencie wybuchu pandemii, firma natychmiast przestawiła się na model pracy zdalnej, co pozwoliło na utrzymanie ciągłości działania.

Dział IT zapewnił niezbędny sprzęt do pracy z domu.

Koordynator ds. zasobów ludzkich zadbał o wsparcie dla pracowników, w tym pomoc psychologiczną oraz regularne aktualizacje dotyczące sytuacji zdrowotnej.

Po kryzysie:

Firma przeprowadziła szczegółową ocenę wpływu pandemii na działalność, wprowadzając zmiany w polityce pracy zdalnej oraz inwestując w technologie wspierające współpracę on-line.

Aktualizowano plany ciągłości działania, uwzględniając nowo zdobyte doświadczenia i nowe zagrożenia związane z przyszłymi pandemiami.

2. Firma Y: Reakcja na klęskę żywiołową

Przed kryzysem:

Firma Y opracowała plan zarządzania kryzysowego i ciągłości działania na wypadek klęsk żywiołowych, uwzględniając alternatywne trasy dostaw, zapasy magazynowe w różnych lokalizacjach oraz umowy z zewnętrznymi dostawcami wsparcia.

Regularnie testowano procedury ewakuacji i zabezpieczania mienia w przypadku klęsk żywiołowych.

W trakcie kryzysu:

Gdy region, w którym działa firma, został dotknięty powodzią, firma natychmiast wdrożyła alternatywne trasy dostaw i rozpoczęła dystrybucję towarów z zapasów zlokalizowanych w magazynach położonych poza obszarem zagrożonym.

Zespół zarządzania kryzysowego koordynował ewakuację pracowników oraz monitorował stan infrastruktury.

Po kryzysie:

Firma oceniła skuteczność działań podjętych podczas kryzysu, zidentyfikowała obszary wymagające poprawy, takie jak usprawnienie komunikacji z zewnętrznymi dostawcami.

Zaktualizowano plan zarządzania kryzysowego, uwzględniając wnioski wyciągnięte z powodzi oraz wprowadzono dodatkowe środki zapobiegawcze.

Wnioski i rekomendacje

Zarządzanie kryzysowe i ciągłość działania to niezwykle ważne  elementy strategii każdej organizacji, która chce przetrwać i prosperować w obliczu nieoczekiwanych zagrożeń. Wdrożenie tych strategii wymaga nie tylko dogłębnej analizy ryzyka, ale także zaangażowania całej organizacji – od zarządu po poszczególnych pracowników. Podstawą skutecznej reakcji jest doskonałe przygotowanie i gotowość na hipotetyczne, ale możliwe sytuacje. Dlatego tak ważne jest, aby każda organizacja regularnie przeglądała i aktualizowała swoje plany zarządzania kryzysowego oraz ciągłości działania, uwzględniając zmieniające się otoczenie biznesowe i nowe zagrożenia. Regularne testy i ćwiczenia symulacyjne pozwalają na lepsze przygotowanie i minimalizację skutków przyszłych kryzysów.