QualityAustria

Zarządzanie ciągłością działania

Baza wiedzy


ISO 22301, czyli jak zapewnić ciągłość działania firmy

ISO 22301, czyli jak zapewnić ciągłość działania firmy

 

 

 

„Katastrofa i co dalej?” - tak można by w skrócie podsumować problematykę związaną z zarządzaniem ciągłością działania w firmie, a dokładnie  -  z jego brakiem. Bo jeżeli firma zadaje sobie to pytanie w momencie katastrofy, to jest już zdecydowanie za późno.

Coraz więcej firm ma tego świadomość i zaczyna poszukiwać informacji na temat sposobów prewencji i przeciwdziałania różnego typu negatywnym zjawiskom, które mogłyby zaburzyć ich funkcjonowanie.

 

 

Co ma wspólnego katastrofa Titanica z katastrofą firmy?

 

Do katastrof należą m.in. wielkie katastrofy naturalne, ataki terrorystyczne, incydenty środowiskowe, czy te związane z technologią, jak np. awarie sieci. Jak pokazała katastrofa Titanica - mogą się one wydarzyć w każdym momencie i mieć różne czasami mniej, czasami bardziej przewidywalne przyczyny.

Ze względu na rozmiar katastrofy Titanica i jej ogromne finansowe, społeczne i indywidulane skutki, historia ta jest „żywa” do dziś i wciąż rozpatrywane są jej potencjalne przyczyny. Przyjrzenie się im może być interesujące z perspektywy każdej firmy.

Z raportu amerykańskiej komisji badającej przyczyny wypadku Titanica i z innych doniesień wynika, że przyczyną zatonięcia statku były m.in.:

 

  • złudne poczucie bezpieczeństwa (upowszechniana opinia o niezatapialności statku);
  • przestarzałe przepisy (np. możliwość wykorzystywania radiostacji do nadawania osobistych depesz pasażerów);
  • niewłaściwie określone priorytety (późniejszy dyrektor stoczni stwierdził: „Poświęciliśmy dwie godziny na dyskusję o dywanach w kabinach pierwszej klasy i 15 minut na problem szalup ratunkowych”);
  • niewłaściwa komunikacja między poszczególnymi członkami załogi oraz członkami załogi a osobami decyzyjnymi (depesza o tym, że statek płynie w stronę pola gór lodowych z niewiadomych przyczyn nie dotarła na mostek kapitański),
  • zmiany na stanowiskach na krótko przed wypłynięciem statku spowodowały niejasny podział obowiązków,
  • brak potrzebnego sprzętu (np.  drugi oficer przez pomyłkę zabrał lornetkę marynarzom z bocianiego gniazda);
  • nietrafione oszczędności w postaci zmiany materiałów na tańsze (nity łączące poszczególne elementy statku zostały wykonane z gorszej jakości stopu);
  • ignorowanie sygnałów ostrzegawczych (depesze informujące o potencjalnym zagrożeniu, znaczny spadek temperatury etc.);
  • brak międzynarodowych patroli na północnym Atlantyku,
  • arogancja i zbyt duża pewność siebie części osób decyzyjnych (czego efektem była m.in. zbyt duża prędkość statku);
  • brak odpowiednio przeszkolonych fachowców (na statku nie było jednego z najlepszych w tamtym czasie radiotelegrafistów);
  • tuszowanie incydentów (zapalenie się węgla w jednej z kotłowni statku jeszcze przed jego wypłynięciem naruszyło wodoszczelną gródź);
  • niekorzystne czynniki zewnętrzne (m.in. uprzednie przewrócenie góry lodowej sprawiło, że, pokryta solą, nie była tak dobrze widoczna, a brak wiatru uniemożliwił dostrzeżenie obiektu na podstawie rozbijanych o niego fal).

 

Z tego krótkiego przeglądu wynika, że o katastrofie Titanica zadecydował szereg współwystępujących czynników. Ta i wiele innych katastrof pokazują, jak ważne dla ich uniknięcia i/lub radzenia sobie z nimi są:

 

  • odpowiednia postawa, zaangażowanie i kompetencje osób decyzyjnych;
  • umiejętność przewidywania, prewencji i przeciwdziałania różnego typu incydentom;
  • kompetencje pracowników;
  • wyraźnie określone zakresy odpowiedzialności;
  • odpowiednie wyposażenie i narzędzia pracy;
  • skuteczna komunikacja;
  • stosowanie się do aktualnych regulacji prawnych.

 

Analizując powyższe czynniki nie jest trudno doszukać się analogii pomiędzy katastrofą Titanica, a katastrofą, która może przytrafić się każdej firmie - bez względu na jej wielkość i branżę, w której działa.

Budowanie długotrwałej odporności firmy i umiejętność przetrwania nie ograniczają się do przygotowania się i reagowania na zagrożenia środowiskowe takie, jak np.: trzęsienia ziemi, huragany, powodzie i wiele innych. Firmy, które to rozumieją, budują swoją odporność biorąc pod uwagę również obszar biznesu i zadają sobie pytanie o to, na ile dobrze są przygotowane na to, co może się wydarzyć w przyszłości.

 

„Lepiej uczyć się na cudzych błędach”

 

Każda firma stoi w obliczu zagrożenia niespodziewanym zakłóceniem jej działalności, nie każda jednak o tym wie. Świadomość osób zarządzających i pracowników, określona „kultura gotowości” wobec tego, co nieprzewidywalne oraz odpowiednia wiedza i narzędzia mogą jej zapewnić zdolność szybkiego i skutecznego reagowania i zadecydować o jej przetrwaniu.

Umiejętność przewidywania i przygotowanie na najgorszy możliwy scenariusz rozwoju sytuacji są w takich momentach kluczowe.

Nigdy nie jest tak, że danego wydarzenia nie poprzedzają pewne sygnały i pomniejsze wydarzenia „ostrzegawcze”. Trzeba je tylko umieć dostrzec i być na nie przygotowanym. Na pewno nie sprzyja im postawa typu „jakoś to będzie” oraz ignorowanie, czy brak świadomości zagrożeń, niezbędnej wiedzy, a także brak konkretnych narzędzi, by w razie zakłócenia działalności firmy, szybko powrócić do normalnego funkcjonowania. Potwierdza to nie tylko katastrofa Titanica, ale też wiele innych katastrof zarówno o charakterze naturalnym, jak i biznesowym. Umiejętność wyciągania wniosków z przeszłości i mądrego wykorzystywania ich w przyszłości to jeden z kluczowych czynników przetrwania i osiągnięcia sukcesu. I mimo że wiele incydentów na pierwszy rzut oka może się wydawać niewielkimi i nieistotnymi, to mogą one mieć znaczący wpływ na funkcjonowanie firmy, co sprawia, że zarządzanie ciągłością działania jest ważne przez cały czas.

 

Budowanie biznesowej odporności

 

Każda firma może budować swoją biznesową odporność na „własną rękę” i/lub za pomocą zasobów zewnętrznych takich, jak np.:
 

1) normy ISO 22301 – czyli swoistego drogowskazu jak najlepiej zabezpieczyć ciągłość działania firmy;

2) osób, które w danym obszarze posiadają niezbędną wiedzę i doświadczenie.
 

Pomocni mogą okazać się tutaj trenerzy i auditorzy Quality Austria-Polska, którzy:

 

a)  podzielą się wiedzą i przykładami z tak zwanej „pierwszej ręki”,

b) nauczą jak najlepiej budować system zarządzania ciągłością działania w oparciu o normę,

c)  na przykładach innych firm pokażą co się sprawdza, a jakich błędów należy unikać,

d)  dadzą do ręki konkretne narzędzia, które będzie można zastosować u siebie w firmie.

 


Czym jest norma ISO 22301 i w jaki sposób może pomóc budować biznesową odporność

 

Norma ISO 22301:2014 (Bezpieczeństwo powszechne - Systemy zarządzania ciągłością działania – Wymagania) porządkuje i zabezpiecza obszar związany z zachowaniem ciągłości działania firmy w kontekście jej wewnętrznych i zewnętrznych zagrożeń.

Ta międzynarodowa norma została opracowana po to, by - poprzez określone wymagania - pomóc organizacjom zbudować taki system zarządzania, który pozwoliłby firmie:

 

  • ochronić się przed incydentami zakłócającymi jej działanie,
  • zmniejszyć prawdopodobieństwo ich wystąpienia;
  • przygotować się na nie;
  • odpowiednio na nie zareagować;
  • powrócić do normalnego funkcjonowania w przypadku ich wystąpienia.

 

Dzięki swojej strukturze może być stosowana w różnych firmach, czy organizacjach niezależnie od ich wielkości, lokalizacji, czy branży. Ponadto jest skonstruowana analogicznie do innych norm ISO, dzięki czemu jest łatwa w użyciu.

 

Norma ISO 22301 zapewnia:

 

  • ramy do planowania, ustanawiania, wdrażania, obsługi, monitorowania, przeglądu, utrzymania i ciągłego doskonalenia Systemu Zarządzania Ciągłością Działania (SZCD);
  • lepsze zrozumienie i spójność z innymi systemami zarządzania takimi, jak: ISO 9001 (zarządzanie jakością), ISO 14001 (zarządzanie środowiskiem) i ISO / IEC 27001 (zarządzanie bezpieczeństwem informacji).

 

Korzyści wynikające z wdrożenia w firmie normy ISO 22301

 

Budowanie i rozwój w firmie systemu zarządzania ciągłością działania w oparciu o normę ISO 22301 może przynieść ze sobą wiele różnorodnych korzyści takich, jak np.: 

 

  • wzmacnianie odporności firmy wobec wewnętrznych i zewnętrznych zagrożeń;
  • projektowanie i wdrażanie systemu zarządzania ciągłością działania odpowiedniego do potrzeb firmy oraz spełniającego oczekiwania interesariuszy;
  • ochrona zarówno własnych interesów, jak i interesów klientów;
  • doprowadzenie do poważnych zmian w praktykach w miejscu pracy;
  • zwiększenie prawdopodobieństwa przetrwania firmy w obliczu wewnętrznych czy zewnętrznych kryzysów;
  • oszczędności wynikające z podjęcia działań profilaktycznych chroniących przed ponoszeniem nieprzewidzianych, często ogromnych strat;
  • ograniczenie zużycia energii i czasu potrzebnych do odzyskania utraconych aktywów i powrotu do normalnego funkcjonowania;
  • budowanie marki solidnej i godnej zaufania firmy.

 

Reasumując: Wdrożenie systemu zarządzania ciągłością działania to strategiczna decyzja każdej firmy, która może przyczynić się do jej zrównoważonego rozwoju i zapewnienia długofalowego bezpieczeństwa oraz zagwarantowania jej odporności i płynności biznesowej w obliczu nieprzewidzianych okoliczności i czynników zakłócających jej funkcjonowanie.

 

Analiza wpływu na biznes i ocena ryzyka

 

Podstawę Systemu Zarządzania Ciągłością Działania stanowi Analiza Wpływu na Biznes. Jej celem jest określenie wpływu potencjalnych zakłóceń na działania biznesowe.

 

Dokonując analizy wpływu na biznes należy:

 

  • dobrze poznać procesy wpływające na biznes,
  • przewidzieć konsekwencje zakłócenia i/lub przerwania działań biznesowych (np. straty finansowe, utrata wizerunku firmy, strata klientów etc.);
  • określić priorytetowe terminy wznowienia tych działań,
  • wyznaczyć akceptowalny poziom ich wznowienia przy uwzględnieniu czasu, w którym skutki na wznowienie tych działań będą już nieakceptowalne.

 

W ramach Systemu Zarządzania Ciągłością Działania wg ISO 22301 opracowywane są:

 

  • plany ciągłości działania – zawierają m.in. zasady postępowania oraz określone procedury awaryjne;
  • strategie zachowania ciągłości działania – są opracowywane na podstawie danych uzyskanych w wyniku analizy ryzyka oraz analizy wpływu na biznes wymagań zawartych w parametrach odtworzenia z uwzględnieniem charakterystyki przedsiębiorstwa i dostępnych mu zasobów.

 

Ocena ryzyka ma na celu zrozumienie zagrożeń dla biznesu w zorganizowany sposób.

Reasumując: Im trafniejsze i rzetelniejsze będą plany i strategie ciągłości działania, tym większa jest szansa na ochronę firmy przed stratami, jej utrzymanie się na rynku, a także na spełnienie przez nią wymagań branżowych w zakresie podstawowych wymagań bezpieczeństwa w relacjach z klientami. 

 

Czym różni się zarządzanie ciągłością działania  (ISO 22301) od zarządzania ryzykiem (ISO 31000)?

 

Zarówno zarządzanie ciągłością działania, jak i zarządzanie ryzykiem mają na celu zapewnienie ochrony. Podstawowa różnica między nimi polega na tym, że zarządzanie ryzykiem odnosi się do zagrożeń i szans, podczas gdy zarządzanie ciągłością działania polega na opracowywaniu planów naprawczych, które będzie można wykorzystać w sytuacjach zakłócających działania biznesowe i umożliwiających powrót do normalnego funkcjonowania.

 

 

 

 

Jak widać na powyższym schemacie zarządzanie ryzykiem obejmuje swym zakresem zarówno zarządzanie ciągłością działania, zarządzanie bezpieczeństwem informacji oraz częściowo zarządzanie technologiami informacyjnymi.

Warto nadmienić, że zarządzaniu ryzykiem przypisuje się coraz większe znaczenie. Znalazło to swój wyraz m.in. przy nowelizacji norm ISO takich, jak np.: ISO 9001:2015, czy ISO 14001:2015.

 

Integracja systemów zarządzania

 

Norma ISO 22301 jest spójna z innymi normami takimi, jak na przykład: ISO 9001: 2015 (zarządzanie jakością) i ISO 14001: 2015 (zarządzanie środowiskiem), czy ISO 27001 (bezpieczeństwo informacji).

Podobnie jak na wspomniane wyżej normy, na standard ISO 22301 składają się:

 

  • zakres;
  • odniesienia normatywne;
  • terminy i definicje;
  • kontekst działania organizacji;
  • przywództwo;
  • planowanie
  • wsparcie;
  • funkcjonowanie
  • ocena efektów działania
  • doskonalenie.

 

Owo ujednolicenie norm z założenia ma sprzyjać integracji systemów zarządzania, gdyż wiąże się to z konkretnymi korzyściami dla firmy takimi, jak np.:

 

1. Ujednolicenie systemu zarządzania.

2. Kompletność, synchroniczność i dopasowanie wprowadzanych rozwiązań.

3. Spójność rozwoju firmy.

4. Uproszczenie dokumentacji.

5. Oszczędność czasu i środków potrzebnych na realizację wymagań zawartych w 2 i/lub 3 osobnych normach.

6. Zmniejszenie kosztów procesu certyfikacji zintegrowanego systemu zarządzania.

 

I tak na przykład firma może dążyć do połączenia systemów zarządzania ciągłością działania i zarządzania ryzykiem. Dzięki takiemu połączeniu staje się zdolna do tego, aby:

 

  • w kompleksowy sposób identyfikować potencjalne zagrożenia i unikać katastrof;
  • identyfikować nieprzewidywalne okoliczności;
  • określać procedury, które pozwolą zminimalizować skutki katastrofy dla firmy, jej otoczenia i interesariuszy, jeżeli, mimo podejmowanych działań, do niej dojdzie;
  • opracowywać procedury, które pozwolą jej jak najszybciej przywrócić korzystne dla siebie i otoczenia status quo.

 

Jak możemy pomóc w budowaniu biznesowej odporności firmy  (podejście procesowe, warsztatowe i nastawione na konkretne wyniki)

 

Zależy nam na sensownym działaniu własnym i podmiotów z nami współpracujących, dlatego nasze szkolenia nastawione są na praktykę i konkrety, a przeprowadzane przez nas audyty odbywają się w oparciu o rzeczowy kontakt, dobrą komunikację, wsparcie na każdym etapie współpracy oraz partnerską atmosferę.

Pomagamy w całościowym i procesowym podejściu do zagadnień ciągłości działania i analizy ryzyka. Dla nas każda organizacja jest wyjątkowa dzięki przyjętej przez siebie filozofii działania, postawionym celom i zachodzącym w niej procesom. Dlatego realizowane przez nas szkolenia odpowiadają na rzeczywiste potrzeby firm, dają do ręki konkretne narzędzia, które można sprawdzić i zastosować bezpośrednio u siebie w organizacji, i dlatego też są oceniane na 9,5 – 10 pkt. na skali 10-stopniowej.

Z naszego doświadczenia wynika, że, aby firma osiągnęła sukces, nieodzowne jest zaangażowanie Zarządu i managerów różnego szczebla.

W związku z powyższym proponujemy Państwu warsztaty „szyte na miarę” adresowane do Zarządu i obejmujące swym zakresem podstawową wiedzę na temat ciągłości działania, jej znaczenia dla funkcjonowania firmy oraz na temat konkretnych narzędzi i metodologii, którą można zastosować u siebie firmie.

Dla osób bezpośrednio odpowiedzialnych za prawidłowość zachodzących w firmie procesów tj. dla Pełnomocników lub Managerów, mamy propozycję szkolenia „Manager ciągłości działania wg ISO 22301”.

 

Celami tego szkolenia są:

 

  • nabycie wiedzy na temat zasad wdrożenia skutecznego systemu zarządzania ciągłością działania procesów w oparciu o ryzyko;
  • poznanie metod i technik minimalizujących czasy odtworzeniowe po katastrofie;
  • nabycie praktycznych umiejętności pozwalających zapewnić ciągłość działania firmy;
  • zapoznanie się z modelem normy ciągłości działania;
  • zapoznanie się z interpretacją wymagań normy ISO 22301.

 

Jeżeli uważasz, że ten rodzaj wiedzy mógłby Ci się przydać w pracy, przejdź do strony ze szczegółowym opisem szkolenia:

http://www.qualityaustria.com.pl/szkolenie/zarzadzanie-ciagloscia-dzialan-bcm-na-podstawie-iso-22301-98/ 

 

Natomiast tym, którzy są zainteresowani szerszym spojrzeniem na problematykę bezpieczeństwa firmy i chcieliby dowiedzieć się więcej na temat samego ryzyka, jego szacowania i kontroli zapraszamy na szkolenie: „Zarządzanie ryzykiem w organizacji z wykorzystaniem ISO 31000:2018.

Podczas tego szkolenia, poza zrozumieniem modelu opartego na normie ISO 31000:2018, będziesz miał szansę wypróbować w praktyce wybrane narzędzia przydatne przy analizie i szacowaniu ryzyka. Dowiesz się, jakich błędów unikać oraz na co zwrócić uwagę, gdy będziesz robił analizę w swojej pracy. Dodatkowe informacje na temat narzędzi omawianych podczas szkolenia uzyskasz na stronie:

http://www.qualityaustria.com.pl/szkolenie/zarzadzanie-ryzykiem-w-organizacji-z-wykorzystaniem-iso-310002018-155/ 

 

Więcej szczegółów na temat powyższych szkoleń i/lub audytów na zgodność z normami ISO 22301 i ISO 31000 udzieli Ci:

 

Barbara Wróblewska
Koordynator usług
mail: barbara.wroblewska@qualityaustria.com.pl
tel.: 516 687 791

Napisz lub zadzwoń.

  

 

 

 

Czym jest ISO 22301

Opracowana przez czołowych ekspertów w dziedzinie ciągłości działania norma ISO 22301 zapewnia najlepsze ramy zarządzania ciągłością działania w organizacji. Jej aktualna wersja nosi nazwę: ISO 22301:2014-11 Bezpieczeństwo powszechne - Systemy… więcej


Zarządzanie ciągłością działania (BCM) – ADVA

    Dlaczego przedsiębiorstwo powinno zaplanować i wdrożyć System Zarządzania Ciągłością Działania (BCMS)? Jakie są zalety, korzyści względem podjętego trudu? Droga, którą przeszło przedsiębiorstwo ADVA Optical Networking SE,  jest przykładem… więcej




Quality Austria - Polska Sp. z o.o.

Quality Austria