Zarządzanie ciągłością działania (zgodnie z normą ISO 22301), jako broń przeciwko nieprzewidzianym okolicznościom

/ Holenderski / Door

Koronawirus opanował Belgię i prawie cały świat. Ten nieoczekiwany i początkowo bezprecedensowy czynnik zakłócający drastycznie wstrząsnął codziennym życiem ludzi i firm. Te niepewne i burzliwe czasy kryzysu niosą ze sobą wiele obaw i wyzwań. Teraz bardziej niż kiedykolwiek zdajemy sobie sprawę, że musimy być lepiej przygotowani i uzbrojeni na nieprzewidziane okoliczności, aby zapewnić ciągłość naszych działań biznesowych. Rzeczywiście, takie nieoczekiwane sytuacje i zakłócenia na rynku mogą mieć poważne konsekwencje dla wyników i reputacji organizacji. Podobnie jak Covid-19, istnieje wiele innych zagrożeń, które mogą zakłócić naszą działalność, takich jak awaria infrastruktury IT w wyniku cyberataku, przedłużające się przerwy w dostawie prądu, terroryzm, przedłużające się strajki, powodzie itp.

Zarządzanie ciągłością działania obejmuje proaktywne podejście, które umożliwia organizacji przygotowanie się i reagowanie na potencjalne incydenty i przerwy w działalności biznesowej. Celem jest zminimalizowanie wpływu zakłóceń biznesowych i zapewnienie ciągłości w celu spełnienia wymagań klientów i innych interesariuszy na akceptowalnym poziomie przez cały czas.

W celu ustrukturyzowanego ustanowienia i organizacji zarządzania ciągłością działania, ISO ustanowiło międzynarodowy standard, a mianowicie. ISO 22301:2019. Standard ten zawiera konkretne wymagania i dlatego podlega certyfikacji. Kilka tysięcy certyfikatów jest już w obiegu na całym świecie. Następnie opracowano dodatkowe wytyczne (ISO 22313:2020) z pewnymi wyjaśnieniami. ISO 22301 opiera się na strukturze wysokiego poziomu, a zatem ma ten sam format i wygląd, jaki znamy z ISO 9001 i ISO 14001. Innymi słowy, podejście Plan-Do-Check-Act i identyczny format (kontekst, przywództwo, planowanie, wsparcie, wdrożenie, ocena i doskonalenie). Konkretne i istotne elementy znajdują się w rozdziale dotyczącym wdrażania (rozdział 8 normy).

Można je podsumować w pięciostopniowym planie:

Krok 1 - Analiza wpływu na biznes

Należy przeprowadzić analizę potencjalnego jakościowego i ilościowego wpływu, jaki organizacja może ponieść w wyniku określonego zdarzenia lub incydentu. Obejmuje to wpływ na wyniki finansowe i inne cele biznesowe, wpływ na reputację, wpływ na operacje i czas realizacji, a także zgodność z wymogami prawnymi i umownymi. Na podstawie tej analizy można oszacować, które produkty, usługi, procesy i funkcje są krytyczne i priorytetowe, a także najważniejsze zależności (takie jak na przykład całkowita zależność od jednego dostawcy krytycznego surowca). Ta faza analizy określa również, jakie są lub powinny być ramy czasowe. Przykłady obejmują określenie maksymalnego tolerowanego okresu zakłóceń (po tym okresie wpływ staje się niedopuszczalny) oraz niezbędnego okresu przywracania sprawności.

Krok 2 - Ocena ryzyka

Celem oceny ryzyka jest umożliwienie organizacji identyfikacji, analizy i oceny ryzyka związanego z potencjalnym zakłóceniem jej priorytetowych działań (określonych w analizie wpływu).

Ocena ryzyka to ustrukturyzowany proces, który ma na celu udzielenie odpowiedzi na kilka podstawowych pytań, takich jak:

  • Co może się stać?
  • Jak prawdopodobne jest, że tak się stanie?
  • Jakie mogą być tego konsekwencje?
  • Czy jest coś, co może zmniejszyć prawdopodobieństwo wystąpienia (zapobiegawczo) lub złagodzić konsekwencje (leczniczo)?

Krok 3 - Określanie strategii ciągłości

W oparciu o poprzednie dwa kroki należy określić, jakie strategie zostaną wybrane i jakie opcje zostaną rozważone przed, w trakcie i po incydencie lub zdarzeniu niepożądanym. Obejmuje to określenie konkretnych metod pracy, procedur, uzgodnień dotyczących kopii zapasowych, umów z osobami trzecimi, podziału lub zdublowania działań i lokalizacji, zarządzania wiedzą, ustanowienia zapasów buforowych, ...

Dla każdej ze strategii należy określić, jakich zasobów wymaga (ludzie, zasoby finansowe, systemy ICT, partnerzy, materiały...). Wybrane metody należy wdrożyć i utrzymywać, aby można je było aktywować w razie potrzeby.

Krok 4 - Reagowanie na incydenty i sytuacje awaryjne

Należy określić, co powinno się stać w przypadku faktycznego wystąpienia incydentu. Innymi słowy, należy opracować plany ciągłości działania, które opisują, w jaki sposób organizacja zareaguje na okoliczności i jakie środki zostaną podjęte w celu zapewnienia ciągłości działania.

Obejmuje to, co należy zrobić, jak należy to zrobić, kto robi co, kto komunikuje się o tym i z którymi interesariuszami, ...

Krok 5 - Organizowanie ćwiczeń i dostosowywanie ich w razie potrzeby

Należy ustanowić i wdrożyć programy ćwiczeń w celu okresowego testowania i sprawdzania, czy zdefiniowane strategie i plany działają i są rzeczywiście skuteczne.

I wreszcie, co nie mniej ważne, należy dokonać niezbędnych korekt, aby zapewnić, że system i powiązane z nim dokumenty są utrzymywane przy życiu. Plan ciągłości działania, który nie ewoluuje lub nie jest wystarczająco praktykowany, wkrótce stanie się przestarzały i będzie miał niewielką wartość dodaną.

Lepiej więc być przygotowanym na wypadek, gdyby dopadł nas nowy wirus.

Autor: Joerdi Roels

Powiązane posty