Europejska Akademia
Bezpieczeństwa i Ochrony

EUROPEAN SAFETY & SECURITY ACADEMY

biuro@szkoleniazbezpieczenstwa.pl

Data publikacji: 30 marca 2020
BUSINESS IMPACT ANALYSIS – ANALIZA WPŁYWU NA BIZNES

„BUSINESS RESILIENCE”.

Obecnie trwający kryzys związany z koronawirusem zmusił wiele organizacji do przeglądu swoich procedur związanych z zarządzaniem kryzysem, ciągłością działania i powoli kieruje w stronę myślenia o odporności i trwałości organizacji.

Business resilience to stosunkowo nowy termin. Dosyć trudny do zrozumienia, a świadczyć mogą o tym dyskusje w środowiskach anglojęzycznych, w których nawet eksperci pracujący przy globalnych łańcuchach dostaw, w strukturach międzynarodowych systemów zarządzania ciągłością działania, nie do końca pojmują istotę znaczenia odporności i nabycia trwałości w organizacji. Dość często “resilience” jest traktowane jako bardziej zaawansowane “business continuity”. Niestety to błąd.

ANALIZY RYZYKA, ANALIZA WPŁYWU NA BIZNES.

Podstawą wszelkich działań związanych z odpornością organizacji jest właściwe rozumienie wpływu na biznes zarówno w klasycznym ujęciu ryzyka, jak i wpływu ocenianego wraz z funkcją czasu. Dość często spotyka się systemy, które w sposób rozłączny stosują te podejścia, tworząc dwa różne systemy, co prowadzi do dwóch różnych analiz, a w konsekwencji do dużo bardziej niebezpiecznego zjawiska – dualizmu w ocenie wpływu. Dualizmu niebezpiecznego, bo wynikającego z różnych metod zarządzania ryzykiem oraz ciągłością działania, które w odporności powinny się uzupełniać, a nie rywalizować.

Bardzo istotny jest również sposób prowadzenia analizy wpływu na biznes (Business Impact Analysis – BIA), w ramach której określane są procesy krytyczne. Dzisiejsza rzeczywistość pokazuje, że krytyczności procesów w wielu firmach nie wynikają z kluczowych usług czy produktów, jak wskazuje, np. specyfikacja techniczna ISO/TS 22317. Wiele procesów krytycznych jest wyznaczonych na zasadzie “wydaje mi się”. Brakuje również zejścia o szczebel niżej, czyli do aktywności krytycznych, od których zależą procesy.

ZARZĄDZANIE INCYDENTEM A ZARZĄDZANIE KRYZYSOWE W KONTEKŚCIE ODPORNOŚCI.

Kolejnym elementem, który jest nadal słabo rozumiany w kontekście odporności i trwałości organizacji, stanowi kwestia zarządzania kryzysowego. Przez lata zespoły kryzysowe osadzone były w strukturze zarządzania ciągłością działania. Oznaczało to działanie związane z incydentem, czy nawet sytuacją kryzysową, która naruszała tzw. limity czasowe. Tak samo działał CMT – crisis management team. Sztab kryzysowy powoływany był (i nadal w wielu miejscach jest) na czas istnienia tzw. “sytuacji kryzysowej”, a po jej zakończeniu rozwiązywany (dokładnie po fazie odbudowy). W naszych szkoleniach posługujemy się zestawem dobrych praktyk wydanych w strukturze standardu brytyjskiego BS 11200. Zawartych w nim zostało sześć podstawowych różnic między incydentem czy sytuacją kryzysową a prawdziwym kryzysem. W rozumieniu tego standardu kryzys nie kończy się w momencie, w którym działamy znów na 100%. Nie jest to możliwe w sytuacji, w której zmienia się zbyt wiele, czy to w otoczeniu (kontekst zewnętrzny), czy wewnątrz organizacji (kontekst wewnętrzny).

Analogicznie jednak do analizy ryzyka i BIA, czyli niejako dwóch systemów, które powinny działać komplementarnie, konieczne jest, by również plany ciągłości współdziałały z zarządzaniem kryzysowym w ujęciu szerszym niż tylko obecne zarządzanie kryzysowe w strukturze BCM/BCP. Innymi słowy, CMT funkcjonujące w celu przywrócenia działania organizacji w dość ściśle wyliczonym czasie przestoju bądź naruszenia procesów (MTPD, BIL, MAO), powinny współpracować z tymi zespołami, które będą obsługiwały skutki następujące już po wznowieniu działania i przywrócenia na satysfakcjonującym poziomie. Tym bardziej że o przetrwaniu organizacji mogą decydować również dostrzeżone szanse wynikające z kryzysów. Są one jednak trudne do zauważenia, jeśli zarządzaniem kryzysowym obejmujemy tylko te działania, których celem jest przywrócenie naszej dobrze znanej produkcji czy usług.

DOJRZAŁOŚĆ ORGANIZACJI.

Odporność organizacji jest trudnym terminem do zrozumienia bez przyswojenia sobie pojęcia dojrzałości organizacji. W naszych pracach rozwojowych zagadnienie dojrzałości organizacji pojawiło się już w 2012 roku. Porównujemy organizacje do cyklu życia człowieka. Małe dzieci praktycznie nieświadome zagrożeń muszą być prowadzone przez dorosłych; pilnowane, aby nie zrobiły sobie krzywdy. Młodzież wkraczająca pomału w dorosłe życie również styka się z problemami postrzegania świata jako dość bezpiecznego, otwartego na pomysły. Niestety wtedy pojawiają się wypadki, śmierć rówieśników i pierwsze kryzysy.

Organizacje nabywają dojrzałość w dość podobny sposób. W naszej pracy posługujemy się 4- stopniową skalą, podobnie jak w standardzie ISO 22325, związanym z pojemnością organizacji na zdarzenia kryzysowe. Jako Europejska Akademia Bezpieczeństwa i Ochrony omówiliśmy ten standard jeszcze w fazie projektu (community draft) w trakcie konferencji BSI Polska, w 2016 roku. Konferencja dotyczyła ciągłości działania w infrastrukturze krytycznej.

Nieco inne podejście możemy znaleźć w standardzie brytyjskim BS 65000, który jest przewodnikiem w obszarze trwałości i odporności organizacji (BS 65000:2014 Guidance on organizational resilience). W tym przypadku mamy do czynienia z pięcioma poziomami inaczej definiowanymi. Jako pierwsza firma w Polsce prowadziliśmy szkolenie w 2016 roku związane z tym zagadnieniem, na podstawie standardu BS 65000 i BS 11200 (zarządzanie kryzysowe).

Niezależnie jednak od podejścia, czynnik dojrzałości wydaje się podstawowym w rozumieniu konieczności tworzenia struktur trwałych i odpornych. Podobnie jak w życiu codziennym- osoby dorosłe, samodzielnie już prowadzące gospodarstwo domowe zastanawiają się nad tym, jak żyć, jak rozwiązywać problemy i jak funkcjonować, mimo kryzysów i zdarzeń losowych.

Więcej o business reslilience:

Artykuł w kontekście prac w BSI nad standardem ISO 22316, data publikacji 19 maja 2016: https://www.linkedin.com/pulse/odporność-trwałość-organizacji-grzegorz-greg-krzeminski/
Artykuł po konferencji: “Business Continuity & Resilience – Londyn, 2015”.
Konferencja przekształciła się w cykl “From Risk 2 Resilience”, wydarzenia warsztatowo-konferencyjne prowadzone w Londynie, Manchesterze, Dublinie.
Data publikacji: 19 września 2015: https://www.linkedin.com/pulse/resilience-nowa-moda-czy-grzegorz-krzeminski/

AUTOR: Eksperci ESSA

PODOBNE ARTYKUŁY:

ORGANIZACJA BEZPIECZEŃSTWA – 3 proste zasady.

Organizacja bezpieczeństwa to nic innego, jak trójskładnikowa podstawa, na której budujemy, rozwijamy i realizujemy cele bezpieczeństwa, a tym samym organizacji.  To zestaw obowiązkowej wiedzy i umiejętności, który stanowi fundament do zbudowania prawidłowo...

NIS 2 – system zarządzania bezpieczeństwem

Dyrektywa NIS 2 (Network and Information Systems) wprowadzająca wysoki poziom cyberbezpieczeństwa w Unii Europejskiej, przynosi znaczące zmiany w porównaniu do swojej poprzedniej wersji. Pojawia się wiele elementów, które są wymagane, są też takie, które będą...

NAJBLIŻSZE SZKOLENIA