,,Obyś żył w ciekawych czasach” – mówi chińskie przysłowie, choć czy pochodzi ono faktycznie z Chin, pozostaje kwestią sporną. Niewątpliwie właśnie w takich czasach żyjemy. W czasach, w których na pierwszy plan wysuwa się odporność.
Pandemia COVID19 (epidemia na skalę globalną), utknięcie kontenerowca Evergreen i zablokowanie Kanału Sueskiego, sytuacja na granicy z Białorusią, wojna na Ukrainie, inflacja i wiele innych wydarzeń/czynników, które w ostatnich latach bardzo mocno zachwiało organizacjami na całym świecie. W ciągu ostatnich 3 lat zgłaszały się do nas firmy, które pozornie miały stabilną sytuację na rynku, wszystkie struktury książkowo ułożone, ale mimo pięknych planów coś nie działało, ciągnąc organizację na dno. A my mówiąc kolokwialnie, byliśmy dla nich kołem ratunkowym, które zamiast koła rzucało im business resilience. Ostatnie lata płyną pod banderą planów zarządzania ciągłością działania, analizą wpływu na biznes, szacowaniem i oceną ryzyka, zarządzaniem kryzysowym i… business resilience, czyli odpornością organizacji.
Wiele firm, które dysponowały wyłącznie planami awaryjnymi czy zarządzania kryzysowego niestety nie przetrwało. Dlaczego? Bo w momencie największych sztormów, okazało się, że to zbyt mało. Czego im brakowało? Właśnie business resilience, odporność organizacji.
CZYM TO BUSINESS RESILIENCE/ORGANIZATIONAL RESILIENCE WŁAŚCIWIE JEST? TRWAŁOŚĆ, ODPORNOŚĆ CZY SPRĘŻYSTOŚĆ ORGANIZACJI?
Po wirze wyżej wymienionych zdarzeń wydawało się, że kluczowym kierunkiem w bezpieczeństwie i zarządzaniu stanie się wdrażanie koncepcji odpornej organizacji (resilient organization), czy odpornych miast (resilient cities) opisywanych w normach i standardach od wielu lat.
W praktyce dopiero się to dzieje. W wielu przypadkach na podstawie własnych doświadczeń z wcześniejszych zdarzeń i kryzysów. W innych, pomysły na zaplanowanie przetrwania, rodzą się dopiero w głowach, opracowywane są koncepcje i pomysły. W obu tych przypadkach (i wielu innych), działania te charakteryzuje przecieranie szlaków. Szukanie zrozumienia, pomysłu i koncepcji. Zapominając o tym, że standardy, pomysły i gotowe rozwiązania już są. Zbudowane na podstawie doświadczeń setek, a nawet tysięcy ekspertów w dziedzinie ciągłości działania, odporności i zarządzania kryzysami. Zawarte w standardach i normach BS 65000 oraz ISO 22316, o których szczegółowo napiszemy w kolejnych artykułach.
RÓŻNE WYMIARY ODPORNOŚCI
Jeśli chcemy określić wymiary odporności organizacji, należy pamiętać, że w zależności od branży, będzie ona realizowała inne cele i będzie inaczej rozumiana, dzieląc ją na odporność:
- Dla miasta, obszaru czy gminy oraz administracji publicznej;
- Dla organizacji komercyjnej, która świadczy usługi publiczne;
- Dla organizacji komercyjnej, bez zobowiązań publicznych.
Ad.1 Miasto, obszar i gmina nie mogą nigdzie wyemigrować. Nie mogą zmienić profilu działalności, rozpocząć na nowo. W ich przypadku występuje wiele barier i ograniczeń. Nie mają one pełnego wachlarza możliwości, choć na szczeblu strategicznym można powiedzieć o pewnej elastyczności. Administracja publiczna nie ma natomiast innych możliwości, jak traktowanie odporności w sposób bezpośredni, a więc budowania systemów bezpieczeństwa dla swoich usług i działalności, tak aby były odporne.
Ad.2 Organizacje komercyjne świadczące usługi publiczne (np. podmioty krytyczne z projektowanych przepisów unijnych lub podmioty podlegające pod aktualne przepisy Ustawy o krajowym systemie cyberbezpieczeństwa, czy Ustawy o zarządzaniu kryzysowym), również bywają nieco ograniczone w obszarze możliwości budowania pełnej odporności organizacyjnej. Choć w ich przypadku zmiana profilu działania jest możliwa.
Ad. 3 Organizacje typowo komercyjne mają najwięcej możliwości. Mogą „utwardzić” świadczenie swoich najważniejszych usług i produktów jak gminy, miasta, administracja publiczna czy organizacje świadczące usługi publiczne. Mogą również, w celu przetrwania np. zmienić profil działania.
Prawdopodobnie nakreślił się Wam już w pewnym stopniu obraz odporności. Musimy jednak pamiętać o kilku zasadach, które uchronią organizację przed tym, aby nie stała się ona kolejnym system zarządzania bezpieczeństwem, ciągłością działania, czy incydentami. Odporność musi Wam dać sprawność umożliwiającą przetrwanie w każdych, szczególnie trudnych czasach.
Jedną z głównych cech właściwie pojmowanej odporności organizacyjnej jest koordynacja. Przytoczony ponad 7 lat temu przykład na konferencji BSI (British Standards Institute) „Business Continuity & Resilience” opisywał człowieka, który uległ wypadkowi i złamał rękę. Pierwszą rzeczą, której musi nauczyć się organizm, jest inne działanie, skoordynowanie całego ciała. Nie ma już podpory na złamanej ręce, a wiele czynności będzie wykonywane tylko zdrową. Jest to całkiem nowe doświadczenie dla funkcjonowania i organizmu człowieka. Podobnie jest w organizacji. Gdy będzie dotknięta ułomnością, nawet okresową, nie możemy polegać na tych częściach, które nie działają. Ale przecież dalej chcemy żyć, a nawet pracować.
CZYM NIE JEST ODPORNOŚĆ?
Przede wszystkim nie jest kolejnym systemem zamkniętym w polityki, procedury i instrukcje. Jest to najtrudniejszy element w zrozumieniu istoty odporności organizacji. Podobnie jak z kryzysami i zarządzaniem nimi, tak w odporności, mówimy o kombinacjach niepowtarzalnych. Z tego powodu nie da się zaszyć odporności w mechanizmy zbliżone do budowania systemów ciągłości działania, zarządzania incydentami lub zarządzania ryzykiem.
Odporność to ciągła nauka i obserwacja. Nabywanie umiejętności, ale i tracenie ich razem z utratą pracowników. Szczególnie tych kluczowych, na których organizacja się opiera.
W tym miejscu również idealnie pasuje analogia do człowieka. Ten, który doświadczył wielu porażek, ale i sukcesów, jest osobą odporną. Do pewnego czasu, do czasu, w którym okaże się, że ciężar zarówno sukcesów, jak i porażek był zbyt duży. W tej sytuacji może pojawić się depresja, kryzys wartości, obniżenie samooceny itp.
W organizacji również możemy mówić o podobnych stanach. Brak motywacji pracowników, jedna porażka po paśmie sukcesów, mogą zniweczyć wiele lat pracy. Skończy się to odejściem klientów, pracowników, spadkiem zaufania. Przyczyna i jej źródło nie mają większego znaczenia, zadziało się „coś”.
W XXI wieku, w dobie wojny na Ukrainie i wielu innych pastwach na świecie. W czasach, w których mowa jest o nowym porządku świata, pandemiach, inflacji i nadmiernej ingerencji administracji w działanie biznesu, zbudowanie odporności jest wyjątkowym wyzwaniem. Wymaga ogromnej sprawności. Dlatego w wielu przypadkach reslience tłumaczone jest jako sprężystość. Dziś już same systemy zarządzania ciągłością działania, zarządzania kryzysowego, czy incydentami często nie wystarczają. Wcześniejsze prace i przygotowania mogą okazać się nie do końca sensowne, ponieważ skierowane są na utrzymanie usług i produktów, które w nowej sytuacji nie dadzą przetrwania organizacji. Przykłady z czasów pandemii można mnożyć. Wiele firm upadło i nie poradziło sobie. Na szczęście są również tak, które zmieniły kierunki działania, koncepcje, a nawet odkryły nowe możliwości, zmieniły swoje profile i do dziś prężnie działają.
Czy to oznacza, że systemy zarządzania ciągłością działania, kryzysami czy incydentami odchodzą do lamusa? Zdecydowanie nie. Odporność organizacyjna nie zastępuje ich. Można nawet powiedzieć, że wspiera i rozwija. Doświadczenia kryzysów, zdarzeń i incydentów poprawnie opisane, omówione, zarejestrowane są doskonałym źródłem inspiracji do doskonalenia systemów bezpieczeństwa. Sama odporność nie jest wprost pochodną tych systemów w ujęciu historycznym, nie jest to kolejny etap. Nie jest to też domena bezpieczeństwa w klasycznym ujęciu, w którym mówimy o zagrożeniach, ich materializacji w postaci zdarzeń i incydentów oraz skutków stanowiących składową ryzyka.
HISTORYCZNE PODEJŚCIE DO SYSTEMÓW
Podejście 2
Odporność jest cechą organizacji. Cechą zarządczą na najwyższym poziomie zarządzania rozumianego jako proces w pełni holistyczny i szukający maksymalnej synergii. Pozwala na przetrwanie i z tym najczęściej się kojarzy. Właśnie przez to business resilience umiejscawiana jest na równi z systemami zarządzania bezpieczeństwem. Jest to dość powszechny błąd, ponieważ celem rozwiązań jest wypracowanie trwałości. Najważniejsze jej cechy to adaptacyjność i elastyczność.