Tomasz Guzikowski

Celem etapu 1. jest zbudowanie świadomości w zakresie ciągłości działania w organizacji, wprowadzenie do projektu zaangażowanych po stronie organizacji osób, przeprowadzenie wstępnego audytu zgodności z wymaganiami normy ISO 22301, zdefiniowanie i priorytetyzacja obszarów do wdrożenia BCMS w ramach projektu oraz opracowanie polityki ciągłości działania.

Istotne, aby w procesie uczestniczyły wszystkie kluczowe osoby, w tym kluczowi pracownicy realizujący poszczególne procesy w organizacji oraz kierownik projektu, który najczęściej jest również koordynatorem BCMS, a później osobą odpowiedzialną za skuteczne utrzymanie systemu. Ponadto w grupie decydentów powinien się znaleźć przedstawiciel najwyższego kierownictwa.

Działania w ramach tego etapu mogą być realizowane jednorazowo dla głównych obszarów wdrożeniowych w ramach całej organizacji w pięciu krokach:

Krok I

Budowanie świadomości oraz wprowadzenie do projektu
Dla skutecznej realizacji tego kroku należy przeprowadzić warsztaty mające na celu wprowadzenie do projektu i wykazanie istotności ciągłości działania w organizacji – z perspektywy nie tylko technicznej, ale także biznesowej i społecznej. Można to zrobić w formie case study opracowanego na podstawie listy incydentów wpływających na ciągłość działania, które miały miejsce w organizacji. Dobrą praktyką jest również przeprowadzenie symulacji incydentu zaburzającego ciągłość działania z wykorzystaniem istniejących procedur czy instrukcji postępowania w razie incydentów lub awarii. Nie mniej ważnym elementem tego kroku jest wprowadzenie do poszczególnych etapów prac i wyjaśnienie najważniejszych pojęć związanych z ciągłością działania i realizowanym projektem.

Krok II

Wstępny audyt zgodności z wymaganiami normy ISO 22301
Celem jest identyfikacja niezgodności oraz opracowanie rekomendacji pod kątem zgodności z wymaganiami normy ISO 22301. Audyt wstępny ma głównie funkcję informującą i instruktażową. Z jednej strony dostarcza informacji na temat funkcjonowania systemu bądź elementów systemu ciągłości działania, z drugiej – pozwala podpowiedzieć organizacji metodę postępowania i dobre praktyki w audytowanym obszarze.

Realizacja tego kroku polega na pozyskaniu i analizie dokumentacji odnoszącej się do zapewnienia ciągłości działania, jeżeli taka w organizacji występuje. Następnie na bazie warsztatów należy dokonać weryfikacji stosowanych praktyk i faktycznej realizacji działań związanych z ciągłością działania. Raport z przeprowadzonego audytu powinien zawierać listę zidentyfikowanych niezgodności z wymaganiami normy ISO 22301 oraz listę rekomendacji ich usunięcia.

Krok III

Opracowanie kryteriów do priorytetyzacji obszarów na potrzeby wdrożenia
W dużych organizacjach może nie być możliwe zrealizowanie wdrożenia systemu we wszystkich kluczowych obszarach jej działalności w jednym czasie. Ważne, aby w taki sposób określić priorytety dla poszczególnych obszarów jej działalności, żeby w stosunkowo krótkim czasie wdrożenia zapewnić organizacji takie produkty, które dadzą w perspektywie największe wymierne korzyści. Poza tym wydłużający się proces wdrożeniowy może spowodować zniechęcenie pracowników i całej organizacji do dalszej realizacji projektu.

Aby osiągnąć cel niniejszego kroku, należy wspólnie z właścicielami poszczególnych obszarów i procesów uzgodnić listę kryteriów stosowanych na potrzeby priorytetyzacji obszarów umożliwiających zdefiniowanie i ustalenie kolejności wdrożenia.

Przykładowymi kryteriami mogą być:

• dojrzałość obszaru z perspektywy udokumentowania procesów w nim zachodzących,
• powtarzalność obszaru w wielu lokalizacjach (w przypadku obiektów rozproszonych),
• krytyczność obszaru dla działalności,
• wpływ na generowany przychód i koszty,
• liczba dotychczas zidentyfikowanych incydentów i awarii wpływających na ciągłość działania,
• wpływ na wizerunek organizacji.

Krok IV

Zdefiniowanie i priorytetyzacja obszarów objętych wdrożeniem
Aby zrealizować cele niniejszego kroku, dobrą praktyką jest zdefiniowanie kluczowych obszarów działalności organizacji w formie warsztatów zorganizowanych wspólnie z jej przedstawicielami. Kluczowe jest zebranie informacji o łańcuchu wartości organizacji. Podczas moderowanego warsztatu uczestnicy udzielają informacji o świadczonych usługach, dostarczanych produktach i relacjach z interesariuszami na podstawie pytań pomocniczych, m.in.

Segment oraz struktura klientów (Komu dostarczamy nasze produkty?

• Co dostarczamy naszym klientom? Kto jest najważniejszym klientem?)
• Kanały dystrybucji (W jaki sposób docieramy do naszych klientów? Za pomocą jakich kanałów nasi klienci chcą nawiązywać z nami relacje? Które kanały są najbardziej opłacalne?)
• Relacje z klientami (Jakiego rodzaju relacje nasi klienci chcą z nami utrzymywać? Jakie mamy relacje z obecnymi klientami? Jakie problemy staramy się rozwiązać?)
• Struktura przychodów i kosztów (Jaki jest preferowany model rozliczeń z klientami? Jak obecnie klienci płacą za produkty/usługi? Jakie koszty ponosimy w związku z prowadzeniem działalności?)
• Kluczowe zasoby (Jakie zasoby są kluczowe, abyśmy mogli dostarczać nasze produkty/usługi?)
• Kluczowe aktywności (Jakie czynności/procesy muszą być realizowane, aby dostarczać nasze produkty/usługi i zapewniać przychód?)
• Kluczowi partnerzy/interesariusze (Kto jest naszym kluczowym partnerem, dostawcą, podwykonawcą?)

Krok V

Opracowanie polityki ciągłości działania
Kluczowym produktem prac w ramach tego kroku jest polityka ciągłości działania dla zdefiniowanych w poprzednim kroku obszarów, która powinna uwzględniać m.in.

• cel oraz zakres wdrożenia i stosowania polityki,
• kontekst organizacyjny, w tym uwarunkowania wewnętrzne i zewnętrzne odnoszące się do ciągłości działania oraz powody, dla których organizacja wdraża BCMS,
• zadania i obowiązki przypisanych ról w procesie utrzymania i ciągłego doskonalenia BCMS,
• zasady definiowania celów dla ciągłości działania,
• zobowiązanie najwyższego kierownictwa do spełniania wymagań oraz ciągłego doskonalenia

Tomasz Guzikowski Menedżer z wieloletnim doświadczeniem w obszarze zarządzania bezpieczeństwem i ciągłością działania, w tym bezpieczeństwa procesowego i zawodowego, ochrony infrastruktury krytycznej, ochrony informacji niejawnych w budownictwie i dużych zakładach produkcyjnych należących do grupy zakładów dużego ryzyka powstania awarii przemysłowej. Obecnie zarządza obszarem bezpieczeństwa w globalnym koncernie chemicznym CIECH.

Zobacz inne artykuły tego autora:
System Zarządzania Ciągłością Działania (BCMS). Cz. 2. Od czego zacząć?
System Zarządzania Ciągłością Działania (BCMS). Cz. 1.