System Zarządzania Ciągłością Działania (BCMS). Cz. 5. Kolejne kroki – Etap 2. (analiza ryzyka)
Tomasz Guzikowski
Zarządzający przedsiębiorstwem muszą dbać o rozwój firmy. Zabezpieczenie nieprzerwanego jej funkcjonowania zapewnia system zarządzania ciągłością działania. Oto kolejny etap – analiza ryzyka.
Na tym poziomie odbywa się identyfikacja kluczowych zagrożeń dla ciągłości działania krytycznych procesów realizowanych w organizacji. Norma europejska ISO 22301 wymaga, aby organizacja wdrożyła i utrzymywała formalny proces oceny ryzyka, który systematycznie identyfikuje, analizuje i ocenia nie tylko ryzyko zakłócenia priorytetowych działań i procesów, ale także systemów, informacji, ludzi, aktywów, dostawców oraz innych zasobów, które je wspierają.
Proces ten powinien uwzględniać kontekst organizacji oraz potrzeby i oczekiwania zainteresowanych stron. Realizując go, należy mieć świadomość zagrożeń i podatności istotnych dla zasobów wymaganych przez działania organizacji, w szczególności:
– wykorzystanie zasobów wymaganych podczas działań priorytetowych,
– czas działań związanych z danym zasobem – czy nie jest dłuższy niż cel czasu odtworzenia danego działania.
Należy również wybrać odpowiednią metodę identyfikacji, analizy i oceny ryzyka, które może prowadzić do zakłóceń w funkcjonowaniu. Rekomendowana jest w tym przypadku norma ISO 31000 – Zarządzanie ryzykiem. Zasady i wytyczne.
Aby zrealizować cel niniejszego kroku, należy przeprowadzić następujące działania:
- Identyfikacja kluczowych zagrożeń mogących doprowadzić do zatrzymania produkcji, przerwy w dostawie surowca lub innych negatywnych skutków dla kluczowych procesów zidentyfikowanych w poprzednim kroku.
- Identyfikacja stosowanych zabezpieczeń wpływających na zapewnienie ciągłości działania, w tym analiza funkcjonującej w organizacji dokumentacji dotyczącej ciągłości działania.
- Przeprowadzenie szacowania ryzyka z wykorzystaniem wybranej metodyki obowiązującej w organizacji oraz listy zidentyfikowanych zagrożeń w celu określenia prawdopodobieństwa wystąpienia każdego z nich, a także wpływu ich wystąpienia na ciągłość działania i związane z tym konsekwencje.
- Wybór kluczowych zagrożeń dla ciągłości działania poprzedzony potwierdzeniem, jakie poziomy ryzyka są akceptowalne na podstawie przyjętego w metodyce poziomu akceptowania ryzyka.
- Opracowanie strategii zapewnienia ciągłości funkcjonowania dla wybranych, kluczowych zagrożeń/zakłóceń obejmujących działania zmierzające do:
– zabezpieczenia kluczowych zasobów przed ryzykiem sytuacji awaryjnych,
– ustabilizowania, zapewnienia ciągłości oraz odtworzenia kluczowych procesów w przypadku materializacji ryzyka,
– zapewnienia odpowiedniego stanu zasobów magazynowych, personelu utrzymania oraz alternatywnych źródeł zaopatrzenia,
– zabezpieczenia uszkodzonych elementów infrastruktury. - Opracowanie raportu stanowiącego podsumowanie zidentyfikowanych zagrożeń/incydentów/zakłóceń oraz rekomendacji postępowania (plan postępowania z ryzykiem).
Z punktu widzenia organizacji ważne jest sklasyfikowanie rodzajów zagrożeń i oszacowanie ryzyka, aby w następstwie ich wystąpienia można było odpowiednio wdrożyć opracowane scenariusze działań awaryjnych. Przykładowy podział może być zawarty w następujących grupach, które mają realny wpływ na utrzymanie ciągłości działania:
- zarządzanie zasobami ludzkimi,
- zarządzanie finansami,
- infrastruktura,
- zakupy,
- logistyka i sprzedaż.
Zagrożenia można również podzielić na techniczne i nietechniczne. Przykładowo mogą to być m.in.:
– zły stan techniczny i awarie urządzeń i budynków,
– zakłócenia w funkcjonowaniu sieci i systemów informatycznych,
– awarie systemów i urządzeń IT,
– przerwy w zasilaniu,
– susza i niedobór wody,
– brak podstawowych surowców produkcyjnych,
– niedostępność pracowników,
– zmiana regulacji prawnych,
– ryzyka środowiskowe,
– epidemia,
– protesty społeczne (związki zawodowe),
– zagrożenie terrorystyczne i cyberterroryzm,
– inne zakłócenia:
kradzież, wandalizm, sabotaż,
pożar,
śnieżyca/mróz/upały,
siła wyższa/decyzje administracyjne.
Scenariusze działań, które organizacja będzie mogła wykorzystać zarówno w razie przewidzianych, jak i nieprzewidzianych incydentów, powinny ponadto zawierać następujące istotne elementy:
– komunikacja kryzysowa w celu utrzymania swoich klientów,
– utrzymanie wyższych stanów zapasów produktów/surowców na okres utraty ciągłości działania,
– zdefiniowanie, jeśli to możliwe, alternatywnych sposobów realizacji krytycznych procesów biznesowych,
– opracowanie i wdrożenie planu odbudowy obszaru IT w celu jak najszybszego odzyskania dostępu do danych i systemów/aplikacji,
– wymiana lub naprawa uszkodzonych maszyn i urządzeń,
– ponowne zamówienie zniszczonych czy utraconych zapasów i materiałów,
– przeniesienie lub zabezpieczenie uszkodzonej infrastruktury/instalacji,
– zapewnienie alternatywnych źródeł zaopatrzenia.
Dalsze kroki w kolejnych częściach cyklu.
|
Zobacz poprzednie artykuły tego cyklu:
System Zarządzania Ciągłością Działania (BCMS). Cz. 4.
System Zarządzania Ciągłością Działania (BCMS). Cz. 3. Kolejne kroki – etap 1.
System Zarządzania Ciągłością Działania (BCMS). Cz. 2. Od czego zacząć?
System Zarządzania Ciągłością Działania (BCMS)