Europejska Akademia
Bezpieczeństwa i Ochrony

EUROPEAN SAFETY & SECURITY ACADEMY

biuro@szkoleniazbezpieczenstwa.pl

Data publikacji: 20 grudnia 2022
Czasy budowania odporności organizacji (business resilience) – czym jest odporność i jak ją nabyć? 
Odporność organizacji

,,Obyś żył w ciekawych czasach” – mówi chińskie przysłowie, choć czy pochodzi ono faktycznie z Chin, pozostaje kwestią sporną. Niewątpliwie właśnie w takich czasach żyjemy. W czasach, w których na pierwszy plan wysuwa się odporność.  
 
Pandemia COVID19 (epidemia na skalę globalną), utknięcie kontenerowca Evergreen i zablokowanie Kanału Sueskiego, sytuacja na granicy z Białorusią, wojna na Ukrainie, inflacja i wiele innych wydarzeń/czynników, które w ostatnich latach bardzo mocno zachwiało organizacjami na całym świecie. W ciągu ostatnich 3 lat zgłaszały się do nas firmy, które pozornie miały stabilną sytuację na rynku, wszystkie struktury książkowo ułożone, ale mimo pięknych planów coś nie działało, ciągnąc organizację na dno. A my mówiąc kolokwialnie, byliśmy dla nich kołem ratunkowym, które zamiast koła rzucało im business resilience. Ostatnie lata płyną pod banderą planów zarządzania ciągłością działania, analizą wpływu na biznes, szacowaniem i oceną ryzyka, zarządzaniem kryzysowym i… business resilience, czyli odpornością organizacji. 
 
Wiele firm, które dysponowały wyłącznie planami awaryjnymi czy zarządzania kryzysowego niestety nie przetrwało. Dlaczego? Bo w momencie największych sztormów, okazało się, że to zbyt mało. Czego im brakowało? Właśnie business resilience, odporność organizacji. 
 
CZYM TO BUSINESS RESILIENCE/ORGANIZATIONAL RESILIENCE WŁAŚCIWIE JEST? TRWAŁOŚĆ, ODPORNOŚĆ CZY SPRĘŻYSTOŚĆ ORGANIZACJI? 
 
Po wirze wyżej wymienionych zdarzeń wydawało się, że kluczowym kierunkiem w bezpieczeństwie i zarządzaniu stanie się wdrażanie koncepcji odpornej organizacji (resilient organization), czy odpornych miast (resilient cities) opisywanych w normach i standardach od wielu lat. 
W praktyce dopiero się to dzieje. W wielu przypadkach na podstawie własnych doświadczeń z wcześniejszych zdarzeń i kryzysów. W innych, pomysły na zaplanowanie przetrwania, rodzą się dopiero w głowach, opracowywane są koncepcje i pomysły. W obu tych przypadkach (i wielu innych), działania te charakteryzuje przecieranie szlaków. Szukanie zrozumienia, pomysłu i koncepcji. Zapominając o tym, że standardy, pomysły i gotowe rozwiązania już są. Zbudowane na podstawie doświadczeń setek, a nawet tysięcy ekspertów w dziedzinie ciągłości działania, odporności i zarządzania kryzysami. Zawarte w standardach i normach BS 65000 oraz ISO 22316, o których szczegółowo napiszemy w kolejnych artykułach. 

RÓŻNE WYMIARY ODPORNOŚCI 

Jeśli chcemy określić wymiary odporności organizacji, należy pamiętać, że w zależności od branży, będzie ona realizowała inne cele i będzie inaczej rozumiana, dzieląc ją na odporność: 

  1. Dla miasta, obszaru czy gminy oraz administracji publicznej; 
  1. Dla organizacji komercyjnej, która świadczy usługi publiczne; 
  1. Dla organizacji komercyjnej, bez zobowiązań publicznych.  

Ad.1 Miasto, obszar i gmina nie mogą nigdzie wyemigrować. Nie mogą zmienić profilu działalności, rozpocząć na nowo. W ich przypadku występuje wiele barier i ograniczeń. Nie mają one pełnego wachlarza możliwości, choć na szczeblu strategicznym można powiedzieć o pewnej elastyczności. Administracja publiczna nie ma natomiast innych możliwości, jak traktowanie odporności w sposób bezpośredni, a więc budowania systemów bezpieczeństwa dla swoich usług i działalności, tak aby były odporne.  

Ad.2 Organizacje komercyjne świadczące usługi publiczne (np. podmioty krytyczne z projektowanych przepisów unijnych lub podmioty podlegające pod aktualne przepisy Ustawy o krajowym systemie cyberbezpieczeństwa, czy Ustawy o zarządzaniu kryzysowym), również bywają nieco ograniczone w obszarze możliwości budowania pełnej odporności organizacyjnej. Choć w ich przypadku zmiana profilu działania jest możliwa.  

Ad. 3 Organizacje typowo komercyjne mają najwięcej możliwości. Mogą „utwardzić” świadczenie swoich najważniejszych usług i produktów jak gminy, miasta, administracja publiczna czy organizacje świadczące usługi publiczne. Mogą również, w celu przetrwania np. zmienić profil działania.  

Prawdopodobnie nakreślił się Wam już w pewnym stopniu obraz odporności. Musimy jednak pamiętać o kilku zasadach, które uchronią organizację przed tym, aby nie stała się ona kolejnym system zarządzania bezpieczeństwem, ciągłością działania, czy incydentami. Odporność musi Wam dać sprawność umożliwiającą przetrwanie w każdych, szczególnie trudnych czasach.  

Jedną z głównych cech właściwie pojmowanej odporności organizacyjnej jest koordynacja. Przytoczony ponad 7 lat temu przykład na konferencji BSI (British Standards Institute) „Business Continuity & Resilience” opisywał człowieka, który uległ wypadkowi i złamał rękę. Pierwszą rzeczą, której musi nauczyć się organizm, jest inne działanie, skoordynowanie całego ciała. Nie ma już podpory na złamanej ręce, a wiele czynności będzie wykonywane tylko zdrową. Jest to całkiem nowe doświadczenie dla funkcjonowania i organizmu człowieka. Podobnie jest w organizacji. Gdy będzie dotknięta ułomnością, nawet okresową, nie możemy polegać na tych częściach, które nie działają. Ale przecież dalej chcemy żyć, a nawet pracować.  

CZYM NIE JEST ODPORNOŚĆ?  

Przede wszystkim nie jest kolejnym systemem zamkniętym w polityki, procedury i instrukcje. Jest to najtrudniejszy element w zrozumieniu istoty odporności organizacji. Podobnie jak z kryzysami i zarządzaniem nimi, tak w odporności, mówimy o kombinacjach niepowtarzalnych. Z tego powodu nie da się zaszyć odporności w mechanizmy zbliżone do budowania systemów ciągłości działania, zarządzania incydentami lub zarządzania ryzykiem. 

Odporność to ciągła nauka i obserwacja. Nabywanie umiejętności, ale i tracenie ich razem z utratą pracowników. Szczególnie tych kluczowych, na których organizacja się opiera.  

W tym miejscu również idealnie pasuje analogia do człowieka. Ten, który doświadczył wielu porażek, ale i sukcesów, jest osobą odporną. Do pewnego czasu, do czasu, w którym okaże się, że ciężar zarówno sukcesów, jak i porażek był zbyt duży. W tej sytuacji może pojawić się depresja, kryzys wartości, obniżenie samooceny itp. 

W organizacji również możemy mówić o podobnych stanach. Brak motywacji pracowników, jedna porażka po paśmie sukcesów, mogą zniweczyć wiele lat pracy. Skończy się to odejściem klientów, pracowników, spadkiem zaufania. Przyczyna i jej źródło nie mają większego znaczenia, zadziało się „coś”.  

W XXI wieku, w dobie wojny na Ukrainie i wielu innych pastwach na świecie. W czasach, w których mowa jest o nowym porządku świata, pandemiach, inflacji i nadmiernej ingerencji administracji w działanie biznesu, zbudowanie odporności jest wyjątkowym wyzwaniem. Wymaga ogromnej sprawności. Dlatego w wielu przypadkach reslience tłumaczone jest jako sprężystość. Dziś już same systemy zarządzania ciągłością działania, zarządzania kryzysowego, czy incydentami często nie wystarczają. Wcześniejsze prace i przygotowania mogą okazać się nie do końca sensowne, ponieważ skierowane są na utrzymanie usług i produktów, które w nowej sytuacji nie dadzą przetrwania organizacji. Przykłady z czasów pandemii można mnożyć. Wiele firm upadło i nie poradziło sobie. Na szczęście są również tak, które zmieniły kierunki działania, koncepcje, a nawet odkryły nowe możliwości, zmieniły swoje profile i do dziś prężnie działają.  

Czy to oznacza, że systemy zarządzania ciągłością działania, kryzysami czy incydentami odchodzą do lamusa? Zdecydowanie nie. Odporność organizacyjna nie zastępuje ich. Można nawet powiedzieć, że wspiera i rozwija. Doświadczenia kryzysów, zdarzeń i incydentów poprawnie opisane, omówione, zarejestrowane są doskonałym źródłem inspiracji do doskonalenia systemów bezpieczeństwa. Sama odporność nie jest wprost pochodną tych systemów w ujęciu historycznym, nie jest to kolejny etap. Nie jest to też domena bezpieczeństwa w klasycznym ujęciu, w którym mówimy o zagrożeniach, ich materializacji w postaci zdarzeń i incydentów oraz skutków stanowiących składową ryzyka.  

HISTORYCZNE PODEJŚCIE DO SYSTEMÓW 

Podejście 2 

Odporność jest cechą organizacji. Cechą zarządczą na najwyższym poziomie zarządzania rozumianego jako proces w pełni holistyczny i szukający maksymalnej synergii. Pozwala na przetrwanie i z tym najczęściej się kojarzy. Właśnie przez to business resilience umiejscawiana jest na równi z systemami zarządzania bezpieczeństwem. Jest to dość powszechny błąd, ponieważ celem rozwiązań jest wypracowanie trwałości. Najważniejsze jej cechy to adaptacyjność i elastyczność.  

AUTOR: Grzegorz Krzemiński
Zajmuje się bezpieczeństwem od ponad 25 lat. Od 20 szkoli. Zrealizował ponad 650 projektów w bezpieczeństwie w Polsce i Wielkiej Brytanii. Autor standardów i metodyk zarządzania bezpieczeństwem, audytu, szacowania i oceny ryzyka. Preferuje holistyczne podejście do bezpieczeństwa, posiadając doświadczenie w RODO, ochronie ppoż, ATEX, bezpieczeństwie fizycznym oraz zarządzaniu ciągłością działania i zarządzaniu kryzysowym.

PODOBNE ARTYKUŁY:

ORGANIZACJA BEZPIECZEŃSTWA – 3 proste zasady.

Organizacja bezpieczeństwa to nic innego, jak trójskładnikowa podstawa, na której budujemy, rozwijamy i realizujemy cele bezpieczeństwa, a tym samym organizacji.  To zestaw obowiązkowej wiedzy i umiejętności, który stanowi fundament do zbudowania prawidłowo...

NIS 2 – system zarządzania bezpieczeństwem

Dyrektywa NIS 2 (Network and Information Systems) wprowadzająca wysoki poziom cyberbezpieczeństwa w Unii Europejskiej, przynosi znaczące zmiany w porównaniu do swojej poprzedniej wersji. Pojawia się wiele elementów, które są wymagane, są też takie, które będą...

NAJBLIŻSZE SZKOLENIA