Data publikacji: 30 stycznia 2019

ZARZĄDZANIE BEZPIECZEŃSTWEM – CZĘŚĆ II. KONTEKST ZEWNĘTRZNY, ANALIZY MAKRO.

Kilka tygodni temu rozpoczęliśmy cykl artykułów ,,Zarządzanie bezpieczeństwem”. Tych, którzy jeszcze nie mieli okazji przeczytać części I zapraszamy do lektury, a wszystkich, którzy zapoznali się już z częścią I, zapraszamy do poszerzenia swoich horyzontów w części II 🙂

Analizy makrootoczenia nie są niczym nowym w strategicznym zarządzaniu. Jego zaimportowanie do systemów zarządzania bezpieczeństwem i ochroną rozpoczęły się od ISO 31000:2009, czyli normy dotyczącej systemowego podejścia do zarządzania ryzykiem, gdzie uzyskały nazwę “kontekst”. Wcześniej funkcjonowały w wybranych organizacjach i instytucjach, nazywane były częściej analizami makro i mikrootoczenia organizacji. Dziś zajmiemy się pierwszą z grup analiz, czyli analizą makrootoczenia. Zanim jednak przejdziemy do narzędzi, dwa zdania wyjaśnienia słowa “kontekst”.

Kontekst a bezpieczeństwo

Każda organizacja funkcjonuje w pewnym środowisku. Możemy wyróżnić trzy obszary podstawowe:

Makrootoczenie – czyli tzw. otoczenie dalsze. Są to obszary, na które bezpośrednio organizacja nie ma wpływu. Takie jak przepisy prawne, ekonomia, społeczeństwo, rozwój technologiczny.
Mikorootoczenie – czyli tzw. otoczenie bliższe. W tym obszarze mamy do czynienia już z otoczeniem, na które organizacja ma nieco większy wpływ. Są to dostawcy, odbiorcy oraz konkurenci.
Środowisko wewnętrzne – organizacyjne nazywane czasem kulturą organizacji, a w przypadku bezpieczeństwa kulturą bezpieczeństwa.

Uświadomienie sobie wzajemnych oddziaływań między tymi obszarami ma kluczowy wpływ na kształtowanie systemu zarządzania bezpieczeństwem i ochrony w każdym obszarze.

Czynniki makrootoczenia wpływają na organizację tak silnie, jak są redukowane (zagrożenia) bądź wzmacniane (szanse) przez czynniki wewnętrzne. Działanie to nazywa się działaniem opartym o ryzyko. Analogicznie, rozważenie wpływu otoczenia i organizacji na jej bezpieczeństwo jest myśleniem opartym o ryzyko, czyli spełnia jedno z ważniejszych wymagań większości norm i niektórych przepisów prawa w tym np. RODO.

PEST

Analiza makrootoczenia PEST, na której oparty zostanie dzisiejszy artykuł, jest analizą otoczenia dalszego (kontekstu zewnętrznego). Jej istotą jest pogrupowanie czynników i opisanie ich tak, aby w kolejnym etapie, czyli rozważenia kontekstu mieć materiał do oceny na ile czynniki te stanowią dla organizacji szanse, które można wykorzystać, a na ile zagrożenia, które należy redukować.

Nazwa analizy PEST jest akronimem słów określających grupy czynników:

P – polityczne i prawne. W rozwinięciach analizy do PESTLE lub PESTEL (Wielka Brytania) czynniki prawne zostają wydzielone do odrębnej grupy – L od angielskiego słowa “legal” – prawo;
E – ekonomiczne,
S – społeczne,
T – technologiczne. W rozwinięciach analizy do PESTLE lub PESTEL, czynniki środowiskowe, znajdujące się w grupie T wydzielone są do odrębnej – E od angielskiego słowa “environemnt” – środowisko.

Poziomy analizy

Pełna analiza wykonywana jest na trzech podstawowych poziomach:

Globalny – tu mamy do czynienia z czynnikami funkcjonującymi na całej ziemi. Przykładowo dla czynników z grupy “P” będą do konwencje międzynarodowe. Obszar ten można zawęzić do konkretnego regionu, np. Europejskiego Obszaru Gospodarczego, jeśli np. analiza ta będzie wykonywana dla organizacji działającej tylko na obszarze EOG,
Krajowy – czynniki brane pod uwagę dotyczą konkretnego kraju,
Lokalny – czynniki brane pod uwagę dotyczą konkretnego obszaru, dość wąsko zakreślonego, gdzie firma ma swoją siedzibę lub oddziały,

W przypadku, gdy organizacja jest rozproszona analizy globalne powinny zostać uzupełnione analizami krajowymi i lokalnymi analogicznie do siedzib i oddziałów.

Przykład analizy:

Grupa: P (polityczne i prawne – podstawowa struktura PEST)

Poziom: Lokalny

Czynnik: Przepisy prawne o zagospodarowaniu przestrzennym.

Ocena: Zakład przemysłowy zlokalizowany jest w obszarze przylegającym do terenów mieszkalnych. Tereny są wystawione na sprzedaż. Na terenie nie został wprowadzony plan zagospodarowania przestrzennego.

Wpływ na organizację: Średni do dużego (w skali od 0 do 3, 2 ze strzałką w górę). Możliwość ograniczenia działalności zakładu w wyniku wprowadzenia niekorzystnych regulacji.

Myślenie oparte o ryzyko

W odniesieniu do systemów zarządzania bezpieczeństwem oraz myślenia opartego o ryzyko warto jest dodatkowo ocenić, czy działanie w organizacji jest adekwatne do siły i możliwości wystąpienia (prawdopodobieństwa) zagrożenia. Reakcji czy też możliwości oddziaływania na czynniki makro nie jest zbyt wiele i nie zawsze są skuteczne, szczególnie w odniesieniu do poziomu globalnego lub krajowego. Lokalnie możliwości są już nieco większe. Najbardziej typowymi sposobami reagowania są:

Monitorowanie czynnika;
Monitorowanie i przygotowanie organizacji;
Monitorowanie, przygotowania organizacji oraz pośrednie oddziaływanie.

Adekwatność, czyli działanie oparte o ryzyko

Działanie oparte o ryzyko jest następstwem myślenia opartego o ryzyko. Nie pojawia się na dziś jeszcze w zbyt wielu standardach jako wymaganie z racji traktowania jako naturalne następstwo. Analizę makro na modelu PEST można wykorzystać zarówno do zaplanowania działania jak i wykazania, że koncepcja jest w pełni wdrożona w organizacji.

W praktyce realizowane jest to taki sposób, że w formularzu, w którym oceniamy wpływ organizacji oraz jej reakcję, pojawia się dodatkowy komentarz czy działanie to jest właściwe i wystarczające, czy należy może zwiększyć zaangażowanie lub odwrotnie, ograniczyć.

Materializacja

Przykład powyżej pochodzi z autentycznych analiz realizowanych na rzecz bezpieczeństwa jednego z zakładów przemysłowych, wykonanej w 2007 roku, a sam model używany jest od 2005 roku. W przykładzie zmaterializowało się zagrożenie, którym było uchwalenie niekorzystnego planu zagospodarowania przestrzennego. Było to zdarzenie szczytowe, z którego dopiero można było estymować ryzyko w różnych kategoriach. Najważniejszym jednak skutkiem był brak możliwości rozbudowy zakładu co spowodowało konieczność przeniesienia produkcji w nowe miejsce.

RODO

W artykule przewija się informacja o tym, że w RODO wymagane jest myślenie oparte o ryzyko. Sam przepis wymaga oceny zagrożeń, siły ich oddziaływania na osoby, których dane dotyczą, wskazując ryzyko naruszenia praw i wolności osoby. Jednak dobrze wykonana identyfikacja czynników prawnych pozwala zidentyfikować zagrożenia dla firmy wynikające z RODO, którymi są nie tylko wysokie kary, ale też i inne działania organów nadzorczych, w tym np. czasowe lub stałe zakazanie przetwarzania danych osobowych.

Synergia

Dobrze opracowany opis kontekstu zewnętrznego, czy dokładniej wykonanych analiz można wykorzystać w wielu obszarach, nie tylko w odniesieniu do bezpieczeństwa. Uświadomienie sobie, jakie czynniki w jaki sposób oddziałują na naszą organizację, jest doskonałym wstępem do wykonania analizy SWOT. A ta bardzo często jest pierwszym wyznacznikiem rodzaju strategii działania całej organizacji.

Ale oprócz strategii jako takiej, kontekst i jego rozważenie wymagane jest już praktycznie w większości standardów. Ostatnim obszarem, w którym kontekst organizacji (zewnętrzny i wewnętrzny) powinien być rozważany to RODO oraz kolejne projektowane przepisy, w których nabiera on coraz większego znaczenia.

Które szkolenia w ESSA?

Analizy makrootoczenia są w pełni i szczegółowo omawiane oraz ćwiczone w trakcie szkolenia Zarządzanie Bezpieczeństwem (wcześniej strategiczne i operacyjne zarządzanie bezpieczeństwem);

Dodatkowo tematyka analizy PEST(LE) pojawia się w różnym kontekście na szkoleniach:

Analiza zagrożeń i Szacowanie i ocena ryzyka (źródła zagrożeń) a także BIA – analiza wpływu na biznes oraz BCM (w kontekście zagrożeń o dużym wpływie);
Zarządzanie kryzysowe oraz Zarządzanie incydentami (typowane skutki oraz raporty sytuacyjne i AAR – after action review);
Szkoleniach z grupy Safety & Security, czyli RODO, ochrona przeciwpożarowa, ochrona fizyczna i inne zakresowe (zagrożenia oraz możliwości i ograniczenia dla zabezpieczeń);
Audyt bezpieczeństwa (w kontekście prawidłowości realizowanej oceny kontekstu w obszarach, w których działanie to jest obowiązkowe, a więc RODO, standardy ISO)

NAJBLIŻSZE SZKOLENIE ZARZĄDZANIE BEZPIECZEŃSTWEM ODBĘDZIE SIĘ 26-27.09.2022.

AUTOR: Eksperci ESSA

PODOBNE ARTYKUŁY:

O wiodących koncepcjach personalnych w zarządzaniu zasobami ludzkimi, czyli jak zarządzać personelem, by unikać jego błędów?

Błędy pracownika, błędy kierownika, błędy… Błąd pracownika może powodować dla firmy dużą stratę, czasem nawet bardzo dużą. Błąd pracownika z działu bezpieczeństwa czy innej osoby, który wykonuje zadania dotyczące bezpieczeństwa może kosztować firmę zdecydowanie ZA...

Analiza wpływu w NIS 2 – czym różni się od szacowania i oceny ryzyka oraz jak się ją wykonuje?

Analiza wpływu w NIS 2 – czym różni się od szacowania i oceny ryzyka oraz jak się ją wykonuje? W poprzednim artykule zostało opisane ryzyko w NIS 2 - wymagania w zakresie szacowania i oceny ryzyka w kontekście świadczenia usług kluczowych. Dziś kilka słów o drugiej z...

Szacowanie i ocena w NIS 2 – analiza ryzyka, szacowanie, czy ocena?

Ryzyko w NIS 2 Dyrektywa NIS 2 (Network and Information Security) w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium UE wprowadza szereg wymagań w zakresie stosowanych rozwiązań organizacyjnych. Jednym z nich jest polityka analizy...

NAJBLIŻSZE SZKOLENIA

Szkolenie online: Szacowanie i ocena ryzyka
14 maja @ 09:30 - 15 maja @ 15:30
Szkolenie on-line: Zarządzanie kryzysowe
28 maja @ 09:30 - 29 maja @ 15:30
Szkolenie online: Zarządzanie bezpieczeństwem
11 czerwca @ 09:30 - 12 czerwca @ 15:30