Jak skutecznie centralizować zarządzanie bezpieczeństwem organizacji
Rafał Łupkowski
Co oznacza centralne zarządzanie bezpieczeństwem organizacji? Przygotowując firmę do tego procesu, trzeba brać pod uwagę wiele czynników, by czerpać korzyści z takiej formy funkcjonowania, unikając przy tym jej negatywnych aspektów.
W swojej dotychczasowej karierze zawodowej miałem przyjemność budować bezpieczeństwo w korporacjach o strukturze wielooddziałowej i do tego najchętniej z racji doświadczenia się odnoszę. Naturalną konsekwencją była także bardzo podobna specyfika oddziałów, choć nie zawsze forma prawna (np. franczyza) umożliwiała bezproblemową centralizację.
Pierwszy, najbardziej wymowny przykład zarządzania bezpieczeństwem, który wzbudził we mnie bezwzględną konieczność wprowadzenia standardów zunifikowanego zarządzania, sięga kilkunastu lat wstecz. W ówczesnej strukturze instytucji finansowej funkcjonowało na terenie kraju ok. 50 oddziałów i każdy z nich był swego rodzaju „księstwem” samodzielnie radzącym sobie z wszelkimi usługami i systemami w zakresie bezpieczeństwa.
Zarząd, chcąc budować scentralizowaną formułę zarządzania organizacją, zalecił wytypowanie jednego dostawcy usług w obszarze bezpieczeństwa fizycznego. I tak też się stało. Jakież było moje zdziwienie, gdy tuż po przetargu, obejmując obszar bezpieczeństwa fizycznego, odkryłem, że co prawda jeden dostawca świadczy określony zakres usług, ale każdy oddział ma co najmniej trzy usługi, a każdą z nich określa odrębna umowa z rzeczonym dostawcą. Dawało to łącznie, jak łatwo policzyć, około 150 umów! Co więcej, w zależności od regionu, ceny usług się różniły.
Nie zapomnę pierwszego miesięcznego rozliczania kosztów bezpieczeństwa – pamiętam, że chciałem uciec jak najdalej (czytaj: zmienić czym prędzej pracę). Na szczęście proces ten w takim wydaniu już się nie powtórzył.
Wniosek nr 1:
Planując centralizację, należy wziąć pod uwagę stronę formalną, a nie tylko kosztową i operacyjną przedsięwzięcia.
Oczywiście strona formalna została „wyprostowana” dość szybko i stałem się jednym z pierwszych szczęśliwych zarządzających – trzech umów sieciowych dla 50 oddziałów w pełni kontrolowanych przez centralę organizacji, w tym mój zespół.
Jak łatwo się domyśleć, proces taki (zwłaszcza że owa instytucja dorobiła się docelowo struktury 440 oddziałów) cyklicznie powtarzał się przez lata. Jednak raz osiągnięte efekty skali i skuteczności procesu zarządzania były tylko udoskonalane, a ja dla określonego wzoru postępowania stałem się zagorzałym zwolennikiem wprowadzania strategii i jej realizacji na poziomie centrali, co dawało określone korzyści:
– synergie kosztowe dzięki efektowi skali,
– łatwość i przejrzystość w kreowaniu budżetu i zarządzaniu nim,
– możliwość korzystania z szerszej palety różnorakich rozwiązań,
– bezpośrednie przełożenie na zarządzany obszar poprzez nadzór umów i kosztów,
– łatwiejsze badanie i egzekwowanie jakości usługi,
– bardziej skuteczna reakcja na incydenty,
– lepsze wsparcie.
Przedstawiona lista stanowi tylko część z licznych zalet centralnego zarządzania obszarem bezpieczeństwa. Są także aspekty negatywne, które stanowią tzw. drugą stronę medalu, nie przysłaniają one jednak wielu zalet z tym związanych. Nie mniej ciekawie termin centralizacja odnosi się do aspektów systemowo-sprzętowych, lecz w tym przypadku dobra umowa i jej wdrożenie raczej nie wystarczą.
W dobie rozwoju systemów zabezpieczeń, mając sporą swobodę w wyborze i rekomendacji rozwiązań, zdarzyło mi się wdrożyć swoistego „mercedesa” w zakresie systemów sygnalizacji włamania i napadu (SSWiN). Centrala alarmowa miała niesamowite możliwości, z powodzeniem mogła obsługiwać inteligentne budynki – świetnie zatem sprawdziła się w budynku centrali, nie mniej dobrze działała w małym oddziale. W miarę rozwoju sieci oddziałów okazało się, że ten „mercedes” wymaga zupełnie innego rodzaju serwisu, a co za tym idzie koszty niewspółmiernie rosły. Ponadto potrzebował specjalnie oddelegowanego serwisanta, a wiedza, ponieważ okazała się rzadka, była niezwykle pożądana i cenna.
Na szczęście każdy system kiedyś się amortyzuje, a jego wymiana pozwala wyciągnąć wnioski pod warunkiem zarządzania obszarem przez tę samą jednostkę i dokonanie autorefleksji.
Wniosek nr 2:
Centralizując i unifikując systemy, należy brać pod uwagę własne potrzeby w odniesieniu do specyfiki zabezpieczanego obszaru, a także uwzględniać łatwość i dostępność komponentów do późniejszej eksploatacji, w tym możliwości integracji.
Najciekawsze doświadczenia płynęły z centralizacji systemów telewizji dozorowej, ponieważ wraz z rozwojem sieci teleinformatycznych obszar ten można określić terminem Sky is the limit – dzisiejsze możliwości integracji na poziomie zarówno sprzętowym, jak i programowym są nieograniczone. Ze względu na specyfikę bezpieczeństwa biznesu warto przytoczyć pewne wydarzenie.
Ponad dziesięć lat temu z kilkoma uznanymi na rynku ekspertami miałem przyjemność opracować na potrzeby swojej organizacji oraz wdrożyć system wideoweryfikacji alarmów na skalę krajową. Jak się później okazało, byliśmy w tym obszarze prekursorami, jednak kluczowym elementem było to, że unifikacja sprzętu i oprogramowania była wypadkową do realizacji dodatkowej usługi przez firmy świadczące usługi w zakresie ochrony mienia, wraz z usługami powiązanymi.
Podzielenie się wiedzą i doświadczeniem w zakresie przeprowadzonego projektu pozwoliło na wdrożenie go w identycznej niemal formie w innej organizacji o tożsamej specyfice. Prawdziwy sukces projektu przyszedł po kilku latach, gdy obie organizacje przeprowadziły fuzję, o której na etapie wymiany doświadczeń nikt nawet nie myślał. W rezultacie połączenie dwóch instytucji finansowych na poziomie sprzętowym odbyło się płynnie, bez konieczności wymiany kluczowych urządzeń, co stanowiło istotną synergię kosztową.
Wniosek nr 3:
Dobierając rozwiązania techniczne zarządzane centralnie, warto myśleć o uniwersalnej formule platformy, a także korzystać z doświadczeń innych.
Centralizacja zarządzania obszarem bezpieczeństwa w ujęciu korporacyjnym stała się faktem.
Trzeba jednak wymienić kilka głównych aspektów mogących niejako negatywnie wpływać na proces po jego centralizacji.
- Wydłużenie procesu decyzyjnego w zakresie projektu (nie może dotyczyć sytuacji kryzysowych przy prawidłowo prowadzonym procesie zarządzania sytuacją kryzysową czy incydentem bezpieczeństwa).
- Brak bezpośredniego wpływu na koszty na poziomie lokalnym (koszty przy centralizacji powinny być zarządzane centralnie – można jednak delegować uprawnienia kosztowe do pewnego poziomu, przy zachowaniu zasady stopniowania kontroli).
- Nienależyte rozpoznanie potrzeb danej jednostki (błąd dotyczy badania przed fazą wdrożenia projektu – warto słuchać głosu oddziału oraz testować i konsultować rozwiązania, jednak w ściśle określonym zakresie).
- Zaburzenia w procesie zgłaszania nieprawidłowości w systemie czy usłudze zarządzanymi centralnie (prawidłowy, cykliczny proces badania jakości).
Im więcej przykładów negatywnych, tym gorzej opracowany projekt i samo wdrożenie, co negatywnie wpływa na zarządzającego – a przecież nie ma wątpliwości, że właściwie wdrożony i zarządzany na poziomie centrali proces bezpieczeństwa ma służyć organizacji i wspierać, a nie utrudniać jej podstawową działalność operacyjną.
Aby skutecznie centralizować lub wprowadzać procesy w obszarze bezpieczeństwa, należy zacząć przede wszystkim od potrzeb, a następnie tworzyć strategię adekwatną do potrzeb, z założeniem zrównoważonego rozwoju danej usługi czy systemu w organizacji.
Ostatnio zetknąłem się z kilkoma przypadkami wdrażania systemów zabezpieczeń bez jakichkolwiek kryteriów i ich korelacji ze specyfiką działalności i usługami, w myśl zasady „ginie… więc załóżmy kamery”. A może wystarczy zamknąć drzwi?
Co powoduje, że centralne zarządzanie usługami i systemami w zakresie bezpieczeństwa przynosi wartość dodaną dla organizacji? Co decyduje o skuteczności takich działań?
Moim zdaniem wpływa na to kilka istotnych czynników:
- Centralizacja zarządzania obszarem bezpieczeństwa musi być wpisana w strategię organizacji.
- Zakres centralizacji musi odpowiadać poziomowi rozwoju organizacji.
- Prawidłowo przeprowadzona i zorganizowana centralizacja odbywa się na poziomach: formalnym, zarządczym i operacyjnym (wykonawczym).
- Kluczowym narzędziem w centralnym zarządzaniu obszarem jest odpowiednia komunikacja na wszystkich wymienionych poziomach.
- Narzędziem niezbędnym, wspierającym procesy są właścicielstwo biznesowe lub kluczowy wpływ na regulacje, budżet i umowy.
- Centralizacja zarządzania musi cyklicznie badać i uwzględniać zmiany specyfiki organizacji, w tym zakładać delegowanie uprawnień i ich kontrolowanie.
- Centralizacja „za wszelką cenę” przez pryzmat jednej zmiennej, np. kosztów, jest nieskuteczna.
Nawet najlepiej zarządzane przedsiębiorstwo realizujące swoją strategię na podstawie metodologii SIX SIGMA nie byłoby prawie doskonałe, gdyby nie przystosowywało się do zachodzących zmian. A zatem każdy, nawet najlepiej przygotowany proces musi być cyklicznie weryfikowany, a jego właściciel biznesowy powinien o każdej porze dnia i nocy wiedzieć, po czym poznać skuteczność wprowadzanych zmian. Autorefleksja i zdolności adaptacyjne wydają się kluczem do sukcesu każdego, kto zdecyduje się szybko podjąć takie wyzwanie, w przeciwnym razie skala zaniedbań będzie rosła.
Rafał Łupkowski
Pasjonat i wieloletni praktyk zarządzania bezpieczeństwem biznesu w korporacjach międzynarodowych, współtwórca Kongresu Security.
Niezależny doradca w obszarze bezpieczeństwa biznesu – właściciel firmy SecurityBroker.