#Bezpieczeństwo biznesu

System Zarządzania Ciągłością Działania (BCMS) – przeglądy, testy i budowanie świadomości

Tomasz Guzikowski


To już ostatnia część cyklu o wdrażaniu systemu BCMS, która opisuje kolejne kroki etapu 2. – przeglądy, testy i budowanie świadomości. Przejście poszczególnych kroków usprawni pracę systemu i działanie firmy.

Celem kolejnego kroku jest utrzymanie systemu zarządzania ciągłością działania w organizacji (w tym m.in. jego monitorowanie i przeglądy), zapewnienie bieżących aktualizacji dokumentacji wdrożonego systemu, wykonania testów i odpowiedniego przeszkolenia zaangażowanych w cały proces osób.

Aby osiągnąć cel niniejszego kroku, należy przeprowadzić następujące działania:

1. Wskazanie osób odpowiedzialnych za realizację przeglądów, aktualizacji i testów opracowanych planów dla zapewnienia ich aktualności i adekwatności.

O tym była mowa w poprzednich częściach naszego cyklu.

2. Opracowanie założeń, łącznie z harmonogramem, cyklicznych audytów i przeglądów systemu oraz ich terminowa realizacja

Audyt BCMS powinien się odbywać cyklicznie na podstawie harmonogramu i programu zatwierdzonego przez najwyższe kierownictwo. Powinien być prowadzony przez niezależnych, przeszkolonych audytorów wewnętrznych. Celem audytu jest weryfikacja, czy wdrożony system spełnia wymogi zgodności z przyjętą przez organizację polityką zarządzania ciągłością działania, opracowaną strategią, przepisami prawa, normami i rekomendacjami.

Z punktu widzenia potencjalnych efektów audyt pełni następujące funkcje:

  • weryfikującą – potwierdzi, czy ustanowiony i utrzymywany system zarządzania jest zgodny z wymaganiami normatywnymi i wewnętrznymi, a także czy wcześniej wskazane niezgodności zostały usunięte;
    wartościującą – oceni stopień skuteczności i efektywności BCMS;
  • informującą – dostarczy informacji nt. funkcjonowania badanego BCMS, co będzie kluczowe dla wspomagania procesów decyzyjnych na różnych szczeblach zarządzania;
  • korygującą – w przypadku stwierdzenia niezgodności podczas przeprowadzonego audytu będą wprowadzane działania korygujące, mające na celu wykrycie i wyeliminowanie przyczyn tych niezgodności;
    zapobiegawczą – w przypadku wykrycia podczas audytu możliwości powstania niezgodności, w przyszłości będą wprowadzane działania zapobiegawcze, wyprzedzające wystąpienie niezgodności;
  • doskonalącą – audyt zidentyfikuje słabości organizacji i wskaże obszary, które powinny być doskonalone;
  • instruktażową – audytor będzie mógł podpowiedzieć stronie audytowanej prawidłowe metody postępowania lub dobre praktyki w audytowanym obszarze.

Program audytu powinien określać kryteria, zakres, częstotliwość oraz sposób ich przeprowadzania. Będzie wspierał takie elementy, jak:

  • Monitorowanie i badanie efektywności systemu
  • Przegląd systemu przez kierownictwo
  • Pomiar stopnia osiągania celów
  • Samoocenę organizacji
  • Koszty funkcjonowania BCMS.

Wynikiem przeglądu BCP powinna być aktualizacja tych jego części, w których stwierdzono konieczność wprowadzenia zmian. Aktualizację BCP przeprowadza się w przypadku wystąpienia następujących zmian:

– listy procesów biznesowych objętych planem,
struktury organizacyjnej lub struktury zarządzania kryzysowego,
– krytycznych zasobów, w tym systemów informatycznych,
– sposobu realizacji procesu biznesowego objętego planem,
– krytycznych dostawców usług i partnerów biznesowych lub warunków współpracy,
– wynikających z rekomendacji z przeprowadzonych audytów, testów lub rzeczywistych awarii,
– w regulacjach prawnych.

Za aktualizację BCP odpowiadają właściciele procesów nim objętych.

3. Opracowanie harmonogramu i realizacja cyklicznych testów opracowanych planów BCP, DRP

Jednym z koniecznych elementów wskazanego etapu projektu wdrażania BCMS jest opracowanie i wdrożenie programu ćwiczeń i testów w organizacji. Wskazany etap pozwala na określenie praktycznej zdolność organizacji do kontynuacji i odtworzenia krytycznych procesów biznesowych. Dzięki temu można dokonać weryfikacji całego systemu zarządzania. W trakcie prowadzenia testu, kiedy dochodzi do interakcji pomiędzy zespołami kryzysowymi, mogą zostać ujawnione braki. Ponadto wyniki testów mogą w konsekwencji doprowadzić do optymalizacji procedur.

Testy BCMS mogą być realizowane w następujących formach:
Testu orientacyjnego – polegającego na szkoleniu mającym zapoznać uczestników z ogólnymi zasadami postępowania w sytuacji kryzysowej, ze wskazaniem odpowiedzialności, rolami zespołów, zadaniami i oczekiwaniami. Celem testu jest weryfikacja znajomości procedur w ramach BCP.

Testu powiadamiania (komunikacyjnego) – mającego na celu weryfikację:

– skuteczności przepływu informacji w ramach struktury zarządzania kryzysowego w organizacji,
aktualności listy kontaktowej (m.in. członków struktury zarządzania kryzysowego, dostawców, instytucji publicznych itd.),
– dostępności pracowników organizacji wchodzących w skład struktury zarządzania kryzysowego.

Gry sztabowej – zorganizowanej w formie dyskusji panelowej, podczas której omawia się kolejne kroki postępowania w sytuacji kryzysowej.

Test ma na celu:
– zbadanie spójności i prawidłowości opracowanych procedur,
– sprawdzenie przygotowania jednostek struktury zarządzania kryzysowego do stosowania właściwych procedur awaryjnych oraz współpracy pomiędzy jednostkami struktury zarządzania kryzysowego,
– weryfikację listy zasobów niezbędnych jednostkom struktury zarządzania kryzysowego do pracy w sytuacji kryzysowej.

Testu symulacyjnego – przeprowadzonego w formie ograniczonej symulacji sytuacji kryzysowej.

Ma on na celu:
– zweryfikowanie zdefiniowanego wycinka planów i procedur,
– koordynację działań jednostek struktury zarządzania kryzysowego,
– weryfikację dostępności niezbędnych zasobów.

Testu operacyjnego – przeprowadzonego z wykorzystaniem środowiska zapasowego, stworzonego w celu zasymulowania sytuacji kryzysowej.

Test ma na celu:
– weryfikację stopnia przygotowania jednostek wchodzących w skład struktury zarządzania kryzysowego do zarządzania i pracy w sytuacji kryzysowej,
– weryfikację kanałów komunikacji przyjętych w procedurach awaryjnych,
– kontrolę poprawności wykonania przełączenia systemów informatycznych niezbędnych do realizacji kluczowych procesów biznesowych,
– weryfikację możliwości kontynuacji procesów kluczowych w środowisku zapasowym,
– sprawdzenie efektywności rzeczywistej mobilizacji personelu i zasobów w wybranych lokalizacjach.

4. Opracowanie harmonogramu i prowadzenie szkoleń dla pracowników zaangażowanych w realizację planów BCP, DRP oraz utrzymanie systemów kluczowych

Program budowania świadomości w zakresie BCMS powinien być skierowany do wszystkich pracowników organizacji. Ma on na celu zwiększenie prawdopodobieństwa skutecznej realizacji BCP w przypadku konieczności jego uruchomienia.

Uświadamianie pracowników może być realizowane m.in. poprzez:

  • zbudowanie portalu intranetowego zawierającego informacje o BCMS,
  • ćwiczenia ewakuacyjne i ppoż.,
  • akcje promujące znaczenie BCMS wewnątrz organizacji (m.in. dni bezpieczeństwa, prezentacje dla nowo przyjętych pracowników w ramach on-boardingu, artykuły w newsletterze, prezentacje materiałów filmowych z przeprowadzonych testów, konkursy wiedzy, plakaty itp.),
  • szkolenia w formie e-learningowej z możliwością przeprowadzenia testu.

Kluczową rolę w podnoszeniu świadomości ma bezpośrednie zaangażowanie najwyższego kierownictwa organizacji we wszystkie działania związane z promowaniem BCMS.

Oprócz budowania świadomości niezbędne jest przygotowanie i wdrożenie programu szkoleniowego dla wszystkich pracowników. Szkolenia mają na celu dostarczenie informacji niezbędnych do uczestnictwa w praktycznych działaniach dotyczących BCMS. W trakcie szkoleń pracownicy zdobywają wiedzę m.in. o tym, jaki jest cel i zakres BCMS, kto jest odpowiedzialny za poszczególne elementy planu oraz jaka jest ich rola w całym systemie zarządzania ciągłością działania.

Szkolenia mogą być podzielone na ogólne – skierowane do wszystkich pracowników, także tych, którzy nie uczestniczą w odtwarzaniu procesów krytycznych (mogą obejmować podstawowe zagadnienia BCMS) oraz specjalistyczne – skierowane do członków struktury zarządzania kryzysowego i zespołów awaryjnych (powinny obejmować zagadnienia specyficzne do pełnionej funkcji w ramach planów ciągłości działania). Szkolenia powinny być organizowane cyklicznie, m.in. w formie seminariów, instruktażu oraz ćwiczeń praktycznych, jak również metodą e-learningową z obowiązkiem odbycia testu sprawdzającego przyswojoną wiedzę.

5. Kolejnym, ale opcjonalnym etapem w trakcie wdrażania BCMS jest wybór jednostki certyfikującej oraz wykonanie audytu certyfikującego

Funkcja audytu programu zarządzania ciągłością polega na porównaniu zgodności zdefiniowanej Polityki Ciągłości Działania, standardów i procedur ze stanem faktycznym, wykryciu ewentualnych luk w ich realizacji oraz wydaniu rekomendacji korygujących.

6. Dobrą praktyką jest również cykliczna ocena dojrzałości BCMS

Jedną z metod oceny dojrzałości BCMS jest opracowana przez amerykańską firmę Virtyal Corporation Inc. Business Continuity Maturity Model (BCMM). Metoda zakłada, że organizacja stopniowo osiąga coraz wyższe poziomy dojrzałości, wprowadzając trwale umocowane i systematycznie doskonalone:
struktury organizacyjne,
role, zakresy odpowiedzialności, kompetencje i uprawnienia osób związanych z BCMS,
zasady postępowania,
świadomość BCMS wśród kierownictwa i pracowników.

Skala oceny jest 6-stopniowa:

Poziom 1. – Problematyka ciągłości działania nie jest postrzegana przez najwyższe kierownictwo jako znacząca i wymagająca centralnego kierowania. Zajmują się tym poszczególne jednostki organizacyjne według własnego rozeznania i w stopniu, które same uznają za słuszny.

Poziom 2. – Strategiczne znaczenie problematyki ciągłości działania nie jest dostrzegane przez wszystkie jednostki organizacyjne. W organizacji lub wśród jej doradców jest specjalista, który wspiera prace w obszarze BCM. Najwyższe kierownictwo ma świadomość wagi problemu, ale jeszcze nie nadaje mu odpowiedniego priorytetu.

Poziom 3. – Najbardziej zainteresowane problematyką jednostki organizacyjne prowadzą wspólne działania. Nie jest to jeszcze BCMS dla całej organizacji. Najwyższe kierownictwo jest świadome działań, sprzyja im, ale jeszcze nie jest zdolne do ustanowienia struktur i zadań w ramach BCMS.

Poziom 4. – Najwyższe kierownictwo jest świadome strategicznego znaczenia BCMS. Utworzono jednostkę zarządzającą problematyką BCMS. Pracuje się nad zintegrowanymi rozwiązaniami, wspólnymi w całej firmie. Zidentyfikowano krytyczne procesy oraz opracowano plany ich ochrony. Są one cyklicznie aktualizowane i testowane.

Poziom 5. – Wszystkie jednostki organizacyjne testują BCP oraz na bieżąco wprowadzają działania korygujące. Najwyższe kierownictwo uczestniczy w testach. Opracowano kilkuletni program rozwoju BCMS,

Poziom 6. – W ramach BCMS dokonuje się oceny BCP jednostek organizacyjnych, a stopień ich przygotowania jest wysoko oceniany. Testuje się współdziałanie jednostek. Wszelkie zmiany w procesach biznesowych, a także w rozwiązaniach BCP są na bieżąco weryfikowane i adaptowane do rozwiązań BCMS.

Doszliśmy do celu, jeśli chodzi o pełne wdrożenie i utrzymanie BCMS w organizacji. Oczywiście w dużych organizacjach, które decydują się na wdrożenie systemu ciągłością działania w wybranych obszarach działalności bądź skupiają w swoich strukturach wiele jednostek organizacyjnych (np. zakładów produkcyjnych), można podejść do wdrożenia wieloetapowo, tworząc przy pierwszym wdrożeniu swego rodzaju framework.

Takie ramy wdrożeniowe powinny obejmować:

–metodykę opisującą proces wdrożenia na bazie zrealizowanych działań,
–szablony i wzory dokumentów wykorzystywanych na potrzeby wdrożenia (np. szablon macierzy BCM, szablony macierzy analizy –ryzyka, analizy BIA, wzory planów BCP itp.),
przykładowe produkty na bazie zrealizowanych działań.

Kluczowe jednak będzie opracowanie planu prac niezbędnych do wykonania w celu wdrożenia BCM w kolejnych obszarach czy jed
nostkach organizacyjnych oraz założeń realizacyjnych, a także przeprowadzenie warsztatu strategicznego z właścicielem projektu po stronie jednostki dominującej w celu podsumowania zrealizowanych prac w ramach wdrożenia w obszarze pilotażowym i przedstawienia propozycji dalszych działań.

Mam nadzieję, że cały cykl artykułów poświęconych metodyce wdrażania systemu zarządzania ciągłością działania okaże się pomocny i wielu menedżerów skorzysta z przedstawionych krok po kroku zasad realizacji.

Tomasz Guzikowski
Menedżer z wieloletnim doświadczeniem w obszarze zarządzania bezpieczeństwem i ciągłością działania, w tym bezpieczeństwa procesowego i zawodowego, ochrony infrastruktury krytycznej, ochrony informacji niejawnych w budownictwie i dużych zakładach produkcyjnych należących do grupy zakładów dużego ryzyka powstania awarii przemysłowej. Obecnie zarządza obszarem bezpieczeństwa w globalnym koncernie chemicznym CIECH.

Tomasz Guzikowski

Zobacz poprzednie artykuły tego cyklu:
System Zarządzania Ciągłością Działania (BCMS). Część 6. Kolejne kroki
System Zarządzania Ciągłością Działania (BCMS). Cz. 5. Kolejne kroki – Etap 2. (analiza ryzyka)
System Zarządzania Ciągłością Działania (BCMS). Cz. 4.
System Zarządzania Ciągłością Działania (BCMS). Cz. 3. Kolejne kroki – etap 1.
System Zarządzania Ciągłością Działania (BCMS). Cz. 2. Od czego zacząć?
System Zarządzania Ciągłością Działania (BCMS)

System Zarządzania Ciągłością Działania (BCMS) – przeglądy, testy i budowanie świadomości

Nieprecyzyjne Warunki Techniczne

Zostaw komentarz

Serwis wykorzystuje pliki cookies. Korzystając ze strony wyrażasz zgodę na wykorzystywanie plików cookies.