Tomasz Guzikowski

Zarządzający przedsiębiorstwem muszą dbać o rozwój firmy. Zabezpieczenie nieprzerwanego jej funkcjonowania zapewnia system zarządzania ciągłością działania. Oto kolejny etap – analiza ryzyka.

Na tym poziomie odbywa się identyfikacja kluczowych zagrożeń dla ciągłości działania krytycznych procesów realizowanych w organizacji. Norma europejska ISO 22301 wymaga, aby organizacja wdrożyła i utrzymywała formalny proces oceny ryzyka, który systematycznie identyfikuje, analizuje i ocenia nie tylko ryzyko zakłócenia priorytetowych działań i procesów, ale także systemów, informacji, ludzi, aktywów, dostawców oraz innych zasobów, które je wspierają.

Proces ten powinien uwzględniać kontekst organizacji oraz potrzeby i oczekiwania zainteresowanych stron. Realizując go, należy mieć świadomość zagrożeń i podatności istotnych dla zasobów wymaganych przez działania organizacji, w szczególności:

– wykorzystanie zasobów wymaganych podczas działań priorytetowych,
– czas działań związanych z danym zasobem – czy nie jest dłuższy niż cel czasu odtworzenia danego działania.

Należy również wybrać odpowiednią metodę identyfikacji, analizy i oceny ryzyka, które może prowadzić do zakłóceń w funkcjonowaniu. Rekomendowana jest w tym przypadku norma ISO 31000 – Zarządzanie ryzykiem. Zasady i wytyczne.

Aby zrealizować cel niniejszego kroku, należy przeprowadzić następujące działania:

• Identyfikacja kluczowych zagrożeń mogących doprowadzić do zatrzymania produkcji, przerwy w dostawie surowca lub innych negatywnych skutków dla kluczowych procesów zidentyfikowanych w poprzednim kroku.
• Identyfikacja stosowanych zabezpieczeń wpływających na zapewnienie ciągłości działania, w tym analiza funkcjonującej w organizacji dokumentacji dotyczącej ciągłości działania.
• Przeprowadzenie szacowania ryzyka z wykorzystaniem wybranej metodyki obowiązującej w organizacji oraz listy zidentyfikowanych zagrożeń w celu określenia prawdopodobieństwa wystąpienia każdego z nich, a także wpływu ich wystąpienia na ciągłość działania i związane z tym konsekwencje.
• Wybór kluczowych zagrożeń dla ciągłości działania poprzedzony potwierdzeniem, jakie poziomy ryzyka są akceptowalne na podstawie przyjętego w metodyce poziomu akceptowania ryzyka.
• Opracowanie strategii zapewnienia ciągłości funkcjonowania dla wybranych, kluczowych zagrożeń/zakłóceń obejmujących działania zmierzające do:
  – zabezpieczenia kluczowych zasobów przed ryzykiem sytuacji awaryjnych,
  – ustabilizowania, zapewnienia ciągłości oraz odtworzenia kluczowych procesów w przypadku materializacji ryzyka,
  – zapewnienia odpowiedniego stanu zasobów magazynowych, personelu utrzymania oraz alternatywnych źródeł zaopatrzenia,
  – zabezpieczenia uszkodzonych elementów infrastruktury.
• Opracowanie raportu stanowiącego podsumowanie zidentyfikowanych zagrożeń/incydentów/zakłóceń oraz rekomendacji postępowania (plan postępowania z ryzykiem).

Z punktu widzenia organizacji ważne jest sklasyfikowanie rodzajów zagrożeń i oszacowanie ryzyka, aby w następstwie ich wystąpienia można było odpowiednio wdrożyć opracowane scenariusze działań awaryjnych. Przykładowy podział może być zawarty w następujących grupach, które mają realny wpływ na utrzymanie ciągłości działania:

• zarządzanie zasobami ludzkimi,
• zarządzanie finansami,
• infrastruktura,
• zakupy,
• logistyka i sprzedaż.

Zagrożenia można również podzielić na techniczne i nietechniczne. Przykładowo mogą to być m.in.:

– zły stan techniczny i awarie urządzeń i budynków,
– zakłócenia w funkcjonowaniu sieci i systemów informatycznych,
– awarie systemów i urządzeń IT,
– przerwy w zasilaniu,
– susza i niedobór wody,
– brak podstawowych surowców produkcyjnych,
– niedostępność pracowników,
– zmiana regulacji prawnych,
– ryzyka środowiskowe,
– epidemia,
– protesty społeczne (związki zawodowe),
– zagrożenie terrorystyczne i cyberterroryzm,
– inne zakłócenia:
kradzież, wandalizm, sabotaż,
pożar,
śnieżyca/mróz/upały,
siła wyższa/decyzje administracyjne.

Scenariusze działań, które organizacja będzie mogła wykorzystać zarówno w razie przewidzianych, jak i nieprzewidzianych incydentów, powinny ponadto zawierać następujące istotne elementy:

– komunikacja kryzysowa w celu utrzymania swoich klientów,
– utrzymanie wyższych stanów zapasów produktów/surowców na okres utraty ciągłości działania,
– zdefiniowanie, jeśli to możliwe, alternatywnych sposobów realizacji krytycznych procesów biznesowych,
– opracowanie i wdrożenie planu odbudowy obszaru IT w celu jak najszybszego odzyskania dostępu do danych i systemów/aplikacji,
– wymiana lub naprawa uszkodzonych maszyn i urządzeń,
– ponowne zamówienie zniszczonych czy utraconych zapasów i materiałów,
– przeniesienie lub zabezpieczenie uszkodzonej infrastruktury/instalacji,
– zapewnienie alternatywnych źródeł zaopatrzenia.

Dalsze kroki w kolejnych częściach cyklu.

Tomasz Guzikowski Menedżer z wieloletnim doświadczeniem w obszarze zarządzania bezpieczeństwem i ciągłością działania, w tym bezpieczeństwa procesowego i zawodowego, ochrony infrastruktury krytycznej, ochrony informacji niejawnych w budownictwie i dużych zakładach produkcyjnych należących do grupy zakładów dużego ryzyka powstania awarii przemysłowej. Obecnie zarządza obszarem bezpieczeństwa w globalnym koncernie chemicznym CIECH.

Zobacz poprzednie artykuły tego cyklu:
System Zarządzania Ciągłością Działania (BCMS). Cz. 4.
System Zarządzania Ciągłością Działania (BCMS). Cz. 3. Kolejne kroki – etap 1.
System Zarządzania Ciągłością Działania (BCMS). Cz. 2. Od czego zacząć?
System Zarządzania Ciągłością Działania (BCMS)