Z artykułu dowiesz się:
- Czym jest kryzys – definicja kryzysu według normy ISO 22361:2022,
- Poznasz różnice między kryzysem, a kryzysem w ujęciu ciągłości działania,
- Dowiesz się czym jest ryzyko,
- Co zrobić, kiedy wystąpiło ryzyko.
W ostatnim czasie została wydana nowa norma bezpośrednio związana z zarządzaniem ciągłością działania i zarządzaniem kryzysowym: ISO 22361:2022 Security and resilience – Crisis management – Guidelines. Zawartość normy porusza m.in. kwestię:
- koncepcji zarządzania kryzysowego,
- ram i procesów budowania zdolności zarządzania kryzysowego,
- zarządzanie kryzysowe,
- strategiczne podejmowanie decyzji w sytuacjach kryzysowych,
- komunikację kryzysową.
Zawiera również ciekawą definicję kryzysu:
,,(…) nienormalne lub nadzwyczajne zdarzenie lub sytuacja, która zagraża organizacji lub społeczności i wymaga strategicznej, adaptacyjnej i terminowej reakcji w celu zachowania jej żywotności (organizacji lub społeczności – przy. Autora) i integralności.”
Uwaga 1 do wpisu: Zdarzenie lub sytuacja może obejmować wysoki stopień złożoności, niestabilności i niepewności.
Uwaga 2 do wpisu: Zdarzenie lub sytuacja może przekroczyć zdolność reagowania lub możliwości organizacji.
Uwaga 3 do wpisu: Biorąc pod uwagę charakter kryzysu, oprócz przećwiczonych planów i procedur potrzebne jest elastyczne i dynamiczne podejście.
Uwaga 4 do wpisu: Zagrożenia mogą wpływać na zdolność organizacji do funkcjonowania, jej reputację, markę, własność fizyczną, polityczną lub intelektualną, strukturę organizacyjną oraz czynniki ludzkie, środowiskowe i ekonomiczne.
Uwaga 5 do wpisu: Termin „organizacja” obejmuje również agencje rządowe i pozarządowe oraz władze krajowe w sektorze publicznym, a także organizacje pozarządowe (NGO) i organizacje charytatywne.
O ile uwagi (w oryginale normy ,,noty”) są już precyzyjne, o tyle sama definicja jest definicją bardzo ogólną, bez uchwycenia istoty kryzysu. Nie jest zła, jest natomiast zbyt powierzchowna. Samo wskazanie, że jest to sytuacja lub zdarzenie, które zagraża czemuś pozostawia ogromny niedosyt. Każdy incydent bezpieczeństwa jest taką sytuacją, co więc odróżnia incydent od kryzysu? Zarządzanie incydentami od zarządzania kryzysowego?
Propozycja rozwiązania
Od samego początku realizacji szkoleń w Europejskiej Akademii Bezpieczeństwa i Ochrony omawiamy odrębnie ryzyko (szkolenie – Szacowanie i ocena ryzyka), incydenty jako materializacja przewidzianych przez nas (najlepiej, gdyby tak było) zdarzeń i sytuacji mogących wywołać konkretny skutek, czyli ryzyko (szkolenie – Zarządzanie incydentami). Odrębnie omawiamy również to, w jak sposób przygotować się do utrzymania ciągłości działania, a więc obsłużyć zdarzenie o charakterze incydentu lub kryzysu w określonym czasie (szkolenie – Zarządzanie ciągłością działania), a inaczej, jak podejść do kryzysów (szkolenie – Zarządzanie kryzysowe). Poniżej krótka charakterystyka tych działań, która umożliwi zrozumienie naszego oporu przeciwko spłaszczeniu tematu kryzysu.
Ryzyko jest skutkiem materializacji zagrożenia (lub szansy), które w negatywnym ujęciu musi wykorzystać słabość (podatność) zasobu, procesu, organizacji. Takie zdarzenie dopiero zaistniało, nie zawsze wywołało od razu przewidziane skutki, choć kilka bezpośrednich zapewne zaistniało. Może trwać chwilę lub dłużej.
Jeśli trwa – to:
- Zarządzamy incydentem – możemy to zrobić poprzez procedury i instrukcje lub plany odpowiedzi na incydent (IRP – incydent response plan). Incydentem zarządzamy wtedy, gdy możemy dobrze rozpoznać zarówno przyczyny zdarzenia lub sytuacji (zagrożenia), jak i skutki (ryzyko). UWAGA: jeśli incydent zostanie źle obsłużony, może stać się kryzysem.
- Zarządzamy kryzysem – w wielu przypadkach samo zagrożenie, które się zmaterializuje stanowić będzie sytuację kryzysową. Skutki, których nie byliśmy w stanie zaplanować w odpowiedzi na incydent lub też zdarzenie, które wywołało „incydent zbiorowy”, na który nie mamy opracowanej procedury powoduje zagmatwanie zdarzenia i nakładanie się nas siebie różnych wątków.
- Uruchamiamy plany ciągłości działania (BCP) pod warunkiem (aktywator planów), że incydent lub sytuacja kryzysowa naruszą dopuszczalne i wyliczone wcześniej przez nas czasy zakłócenia. Mogą to być maksymalny tolerowany czas zakłócenia MTPD (maxium tolerable period of disruption) lub limit zakłóceń biznesowych BIL (business interruption limit). To te maksymalne czasy, wraz z dodatkowymi elementami, jak: minimalny poziom świadczonej usługi, czas wznowienia odtwarzania, wyznaczony punkt, do którego się przywracamy determinują kwestię, że jest to zarządzanie ciągłością działania.
Wynika to z faktu, iż maksymalne czasy przestoju są wyliczone na podstawie jednego głównego parametru. Przekroczenie tych czasów będzie oznaczać wysokie prawdopodobieństwo wystąpienia katastrofalnych, nieodwracalnych skutków dla organizacji.
Zarządzanie kryzysowe pojawia się wprost w sytuacji, w której pisząc kolokwialnie „nie wyrobiliśmy się w czasie”, a więc jesteśmy w ograniczonym środowisku informacyjnym i musimy zacząć zbierać dynamicznie informacje oraz podejmować decyzje. Kluczowe, przełomowe, o ogromnym ciężarze, których wcześniej nie byliśmy w stanie zaplanować. Aby jednak nie wpaść w linearność zarządzania ciągłością i aby nie wypracować przekonania, że gdy BCP (Business Continuity Plan) nie zadziałał, to tylko wtedy jest kryzys, dwa zdania wyjaśnienia:
Już na etapie planowania ciągłości działania możemy podejmować te decyzje. W spokoju, w komforcie zbudowanym na braku presji i czasie na zgromadzenie informacji. W wielu planach, które audytowaliśmy, były decyzje o tym, że krytyczna linia produktów przejmuje pół fabryki, bo tak uznano w globalnych rozwiązaniach w ciągłości działania. Organizator całego systemu (formalnie szef, ale nie oszukujmy się, ten ciężar spoczywa na specjalistach i managerach) wskazał, oszacował i udowodnił, że dla przetrwania całej organizacji niezbędne będzie produkowanie konkretnej linii produktowej. Ta linia może być produkowana np. tylko w Polsce i na Węgrzech, a zapotrzebowanie na nią jest na całą Europę, Afrykę Północną i Bliski Wschód (to przypadek autentyczny). W związku z tym lokalny produkt, przeznaczony na rynek polski może być wstrzymany. Jest to element zarządzania kryzysowego w ciągłości działania. Wcześniej podjęte zostały trudne decyzje, było nieco więcej czasu, niemniej ta decyzja ma charakter, który przypisuje ją do zarządzania kryzysowego.
Podsumowanie
Wydawać by się mogło, że tak wiele doświadczeń w ostatnich czasach skłoni komitety w ISO do zgłębienia tematu, wyraźnego rozdzielenia zarządzania kryzysowego od incydentów i doprowadzi do jasności między systemowymi rozwiązaniami. Niestety tak się nie stało, może dlatego, że norma wydawana jest w rodzinie 22300 – czyli tej skupionej na ciągłości działania.
Najczęściej definicje kryzysu niestety nie odzwierciedlają do końca tego, co w kryzysie najistotniejsze. Sytuacja kryzysowa to zdarzenie, w którym, pisząc kolokwialnie, musimy poświęcić jedno, aby uratować drugie. Można porównać to do stanu wyższej konieczności znanego z Kodeksu Wykroczeń (art. 16) lub Kodeksu Karnego (art. 26). Nam jako organizacji edukacyjnej pozostaje jedno – wyjaśniać i uświadamiać, że kryzys i zarządzanie kryzysowe ma dwie twarze.
Najbliższy termin szkolenia Zarządzanie kryzysowe już 08-09 grudnia 2022 r., on-line.
Szczegółowe informacje uzyskasz klikając tutaj: Szkolenie Zarządzanie Kryzysowe ub kontaktując się z nami mailowo: biuro@szkoleniazbezpieczenstwa.pl