System Zarządzania Ciągłością Działania (BCMS)
Tomasz Guzikowski
Cz. 1. Czy w ogóle jest to komuś potrzebne?
Każda organizacja dąży do maksymalizowania swojej wartości oraz osiągania jak największych przychodów przy zachowaniu możliwie najniższych kosztów. Mówiąc wprost, celem organizacji powinno być przynoszenie dochodów jej właścicielom i akcjonariuszom. Czy zawsze jednak maksymalizowanie przychodów, zysków oraz ograniczanie kosztów działalności operacyjnej jest uzasadnione?
Jeżeli zakładamy, że podejmujemy działalność na krótko, bądź prowadzimy biznes tzw. sezonowy lub oparty na krótkotrwałej modzie, takie podejście może być słuszne i nie będzie miało większego wpływu na efekt. Trochę inaczej rzecz się ma, gdy chcemy zbudować wartość firmy w dłuższej perspektywie. Wówczas zadajemy sobie pytania dotyczące m.in. inwestycji, strategii rozwoju, struktury kosztów, utrzymania w sprawności maszyn i urządzeń, pozyskiwania nowych klientów, zapewnienia dostaw surowców i półproduktów, a także wielu innych elementów, które mają na celu nie tylko utrzymanie się firmy na rynku, ale także jej rozwój. Z kolei aby zapewnić rozwój firmy, bez wątpienia musimy zapewnić ciągłość jej funkcjonowania. Czy to oznacza, że musimy wdrożyć system zarządzania ciągłością działania?
Obowiązujące akty prawne
Wymagania systemu zarządzania ciągłością działania wg normy europejskiej EN ISO 22301 zostały opracowane i opublikowane stosunkowo niedawno. Czy zatem wcześniej organizacje nie zarządzały bądź nie utrzymywały ciągłości działalności? Generalnie początki systemowego podejścia do budowania odporności organizacji na wszelkiego rodzaju zaburzenia w działalności, w tym również ciągłego doskonalenia, sięgają połowy XX wieku. Obecnie w wielu obowiązujących aktach prawnych o charakterze ogólnym bądź branżowym, dyrektywach, standardach polskich i zagranicznych, rekomendacjach i opracowaniach stanowiących źródła dobrych praktyk można znaleźć kluczowe odniesienia do rozwiązań mających na celu zapewnienie ciągłości działania.
Przykładami takich dokumentów są m.in. ustawa o zarządzaniu kryzysowym, ustawa – Prawo bankowe, dyrektywa Rady Europy w sprawie rozpoznawania i wyznaczania europejskiej infrastruktury krytycznej oraz oceny potrzeb w zakresie poprawy jej ochrony, norma PN-I-27001 „Systemy zarządzania bezpieczeństwem informacji”, rekomendacje D i M stanowiące wytyczne do zarządzania rodzajami ryzyka towarzyszącymi bankowym systemom informatycznym i telekomunikacyjnym oraz w zakresie ostrożnego i stabilnego zarządzania ryzykiem operacyjnym w banku i wiele innych.
Uznaje się, że pierwszym standardem, który kompleksowo opisywał zagadnienia ciągłości działania, był standard BS 25999, a pierwszą instytucją, która publikowała najlepsze praktyki w zakresie zarządzania ciągłością działania, był utworzony w 1988 r.
Disaster Recovery Institute International (DRII). Jest to organizacja non profit o zasięgu międzynarodowym, która w początkowym okresie swojej działalności skupiała partnerów w Ameryce Płn. i Azji. W 1994 r. utworzono w Europie Business Continuity Institute (BCI), organizację działającą na podobnych zasadach.
Poza tymi aktami prawnymi, normami i standardami każda organizacja niejako instynktownie wdraża działania mające na celu zapewnienie osiągania celów, w tym utrzymania ciągłości działalności. Czy fakt, że system zarządzania ciągłością działania nie jest udokumentowany, czy też wprost oparty na konkretnej normie, oznacza, że firma nie potrafi tej ciągłości utrzymać? Odpowiedź na to pytanie jest dość oczywista. Oczywiście, nie.
Strategie rozwoju
Załóżmy, że mamy do czynienia z działalnością opartą na prostym procesie produkcyjnym, gdzie mamy zapewniony zdywersyfikowany łańcuch dostaw, popyt na produkty zapewniający ich stały odbiór, dodatnie przepływy pieniężne i dostęp do siły roboczej, w której to działalności nie odnotowano istotnych zdarzeń wewnętrznych czy zewnętrznych mogących mieć wpływ na utratę jej wartości. Jednym słowem otoczenie wewnętrzne i zewnętrzne jest idealne.
Niestety taki stan rzeczy nie trwa wiecznie, dlatego firmy opracowują i wdrażają m.in. strategie rozwoju, wprowadzanie na rynek nowych produktów, pozyskiwanie nowych klientów, poszukiwanie nowych źródeł zasobów itp. Opracowują również instrukcje technologiczne, procedury i instrukcje postępowania w zakresie utrzymania ruchu itd. Są to elementy, które mają bezpośredni wpływ na utrzymanie ciągłości działania organizacji. Inną kwestią jest to, które z procesów realizowanych w organizacji są kluczowe, a ich przerwanie może mieć bezpośredni wpływ na ciągłość jej działania.
Obecnie tylko niektóre obszary działalności w pewnym zakresie są zobowiązane do wdrażania elementów systemu zarządzania ciągłością działania bądź wprost systemu opartego na normie ISO 22301. Do takich branż należą m.in. instytucje bankowe, które poprzez przepisy ustawy Prawo bankowe są zobowiązane do posiadania planów działania zapewniających ciągłe i niezakłócone prowadzenie działalności i realizacji procesów w sytuacjach awaryjnych. Kolejni to przedsiębiorcy telekomunikacyjni, dla których ustawa
Prawo telekomunikacyjne jednoznacznie określa konieczność posiadania planów awaryjnych. Muszą one obejmować również m.in. współpracę z innymi firmami telekomunikacyjnymi i zagranicznymi operatorami telekomunikacyjnymi. Podobnie rzecz się ma wobec instytucji i przedsiębiorstw energetycznych, pocztowych oraz organów odpowiedzialnych za zarządzanie kryzysowe czy ubezpieczenie społeczne.
Pozytywne jest to, iż również organizacje działające w innych obszarach gospodarki same zauważają, że bez kompleksowej strategii i planowania utrzymania zarówno bieżącej działalności, jak i umiejętności reagowania na awarie nie da się zapewnić rozwoju i zachowania konkurencyjności na rynku. A często ich brak może prowadzić do poważnych problemów lub wręcz upadłości firmy.
Wspominałem wcześniej o standardzie BS 25999 oraz o dokumencie, który go zastąpił, jakim jest obecnie norma europejska PN-EN ISO 22301:2020-04 (Bezpieczeństwo i odporność – Systemy zarządzania ciągłością działania – Wymagania). Norma ta, opracowana przez czołowych specjalistów w zakresie ciągłości działania, określa ramy systemu zarządzania ciągłością działania, które można wykorzystać we wdrożeniu praktycznie w każdej organizacji. Właściwe wdrożenie Systemu Zarządzania Ciągłością Działania przygotowuje organizację, aby odpowiednio i skutecznie reagować na pojawiające się lub potencjalne incydenty, dzięki czemu znacznie zmniejsza się ryzyko i poziom potencjalnych szkód wynikających z ich wystąpienia. Co więcej, przedsiębiorstwo poszerza wiedzę na temat swojej organizacji, znacznie efektywniej wykorzystuje własne zasoby, jest bardziej konkurencyjne i szybciej reaguje na zmiany.
W kolejnej części zaproponuję, od czego rozpocząć wdrażanie BCMS, aby uniknąć najczęstszych błędów.
|