#Bezpieczeństwo biznesu

System Zarządzania Ciągłością Działania (BCMS). Cz. 3. Kolejne kroki – etap 1.

Tomasz Guzikowski


Celem etapu 1. jest zbudowanie świadomości w zakresie ciągłości działania w organizacji, wprowadzenie do projektu zaangażowanych po stronie organizacji osób, przeprowadzenie wstępnego audytu zgodności z wymaganiami normy ISO 22301, zdefiniowanie i priorytetyzacja obszarów do wdrożenia BCMS w ramach projektu oraz opracowanie polityki ciągłości działania.

Istotne, aby w procesie uczestniczyły wszystkie kluczowe osoby, w tym kluczowi pracownicy realizujący poszczególne procesy w organizacji oraz kierownik projektu, który najczęściej jest również koordynatorem BCMS, a później osobą odpowiedzialną za skuteczne utrzymanie systemu. Ponadto w grupie decydentów powinien się znaleźć przedstawiciel najwyższego kierownictwa.

Działania w ramach tego etapu mogą być realizowane jednorazowo dla głównych obszarów wdrożeniowych w ramach całej organizacji w pięciu krokach:

Krok I

Budowanie świadomości oraz wprowadzenie do projektu
Dla skutecznej realizacji tego kroku należy przeprowadzić warsztaty mające na celu wprowadzenie do projektu i wykazanie istotności ciągłości działania w organizacji – z perspektywy nie tylko technicznej, ale także biznesowej i społecznej. Można to zrobić w formie case study opracowanego na podstawie listy incydentów wpływających na ciągłość działania, które miały miejsce w organizacji. Dobrą praktyką jest również przeprowadzenie symulacji incydentu zaburzającego ciągłość działania z wykorzystaniem istniejących procedur czy instrukcji postępowania w razie incydentów lub awarii. Nie mniej ważnym elementem tego kroku jest wprowadzenie do poszczególnych etapów prac i wyjaśnienie najważniejszych pojęć związanych z ciągłością działania i realizowanym projektem.

Krok II

Wstępny audyt zgodności z wymaganiami normy ISO 22301
Celem jest identyfikacja niezgodności oraz opracowanie rekomendacji pod kątem zgodności z wymaganiami normy ISO 22301. Audyt wstępny ma głównie funkcję informującą i instruktażową. Z jednej strony dostarcza informacji na temat funkcjonowania systemu bądź elementów systemu ciągłości działania, z drugiej – pozwala podpowiedzieć organizacji metodę postępowania i dobre praktyki w audytowanym obszarze.

Realizacja tego kroku polega na pozyskaniu i analizie dokumentacji odnoszącej się do zapewnienia ciągłości działania, jeżeli taka w organizacji występuje. Następnie na bazie warsztatów należy dokonać weryfikacji stosowanych praktyk i faktycznej realizacji działań związanych z ciągłością działania. Raport z przeprowadzonego audytu powinien zawierać listę zidentyfikowanych niezgodności z wymaganiami normy ISO 22301 oraz listę rekomendacji ich usunięcia.

Krok III

Opracowanie kryteriów do priorytetyzacji obszarów na potrzeby wdrożenia
W dużych organizacjach może nie być możliwe zrealizowanie wdrożenia systemu we wszystkich kluczowych obszarach jej działalności w jednym czasie. Ważne, aby w taki sposób określić priorytety dla poszczególnych obszarów jej działalności, żeby w stosunkowo krótkim czasie wdrożenia zapewnić organizacji takie produkty, które dadzą w perspektywie największe wymierne korzyści. Poza tym wydłużający się proces wdrożeniowy może spowodować zniechęcenie pracowników i całej organizacji do dalszej realizacji projektu.

Aby osiągnąć cel niniejszego kroku, należy wspólnie z właścicielami poszczególnych obszarów i procesów uzgodnić listę kryteriów stosowanych na potrzeby priorytetyzacji obszarów umożliwiających zdefiniowanie i ustalenie kolejności wdrożenia.

Przykładowymi kryteriami mogą być:

  • dojrzałość obszaru z perspektywy udokumentowania procesów w nim zachodzących,
  • powtarzalność obszaru w wielu lokalizacjach (w przypadku obiektów rozproszonych),
  • krytyczność obszaru dla działalności,
  • wpływ na generowany przychód i koszty,
  • liczba dotychczas zidentyfikowanych incydentów i awarii wpływających na ciągłość działania,
  • wpływ na wizerunek organizacji.

Krok IV

Zdefiniowanie i priorytetyzacja obszarów objętych wdrożeniem
Aby zrealizować cele niniejszego kroku, dobrą praktyką jest zdefiniowanie kluczowych obszarów działalności organizacji w formie warsztatów zorganizowanych wspólnie z jej przedstawicielami. Kluczowe jest zebranie informacji o łańcuchu wartości organizacji. Podczas moderowanego warsztatu uczestnicy udzielają informacji o świadczonych usługach, dostarczanych produktach i relacjach z interesariuszami na podstawie pytań pomocniczych, m.in.

Segment oraz struktura klientów (Komu dostarczamy nasze produkty?

  • Co dostarczamy naszym klientom? Kto jest najważniejszym klientem?)
  • Kanały dystrybucji (W jaki sposób docieramy do naszych klientów? Za pomocą jakich kanałów nasi klienci chcą nawiązywać z nami relacje? Które kanały są najbardziej opłacalne?)
  • Relacje z klientami (Jakiego rodzaju relacje nasi klienci chcą z nami utrzymywać? Jakie mamy relacje z obecnymi klientami? Jakie problemy staramy się rozwiązać?)
  • Struktura przychodów i kosztów (Jaki jest preferowany model rozliczeń z klientami? Jak obecnie klienci płacą za produkty/usługi? Jakie koszty ponosimy w związku z prowadzeniem działalności?)
  • Kluczowe zasoby (Jakie zasoby są kluczowe, abyśmy mogli dostarczać nasze produkty/usługi?)
  • Kluczowe aktywności (Jakie czynności/procesy muszą być realizowane, aby dostarczać nasze produkty/usługi i zapewniać przychód?)
  • Kluczowi partnerzy/interesariusze (Kto jest naszym kluczowym partnerem, dostawcą, podwykonawcą?)

Krok V

Opracowanie polityki ciągłości działania
Kluczowym produktem prac w ramach tego kroku jest polityka ciągłości działania dla zdefiniowanych w poprzednim kroku obszarów, która powinna uwzględniać m.in.

  • cel oraz zakres wdrożenia i stosowania polityki,
  • kontekst organizacyjny, w tym uwarunkowania wewnętrzne i zewnętrzne odnoszące się do ciągłości działania oraz powody, dla których organizacja wdraża BCMS,
  • zadania i obowiązki przypisanych ról w procesie utrzymania i ciągłego doskonalenia BCMS,
  • zasady definiowania celów dla ciągłości działania,
  • zobowiązanie najwyższego kierownictwa do spełniania wymagań oraz ciągłego doskonalenia

Tomasz Guzikowski
Menedżer z wieloletnim doświadczeniem w obszarze zarządzania bezpieczeństwem i ciągłością działania, w tym bezpieczeństwa procesowego i zawodowego, ochrony infrastruktury krytycznej, ochrony informacji niejawnych w budownictwie i dużych zakładach produkcyjnych należących do grupy zakładów dużego ryzyka powstania awarii przemysłowej. Obecnie zarządza obszarem bezpieczeństwa w globalnym koncernie chemicznym CIECH.

Tomasz Guzikowski

Zobacz inne artykuły tego autora:
System Zarządzania Ciągłością Działania (BCMS). Cz. 2. Od czego zacząć?
System Zarządzania Ciągłością Działania (BCMS). Cz. 1.

Zostaw komentarz

Serwis wykorzystuje pliki cookies. Korzystając ze strony wyrażasz zgodę na wykorzystywanie plików cookies.