Ciągłość działania spółki w sytuacjach ekstremalnych

Jakie procedury spółka powinna mieć wdrożone, żeby móc skutecznie reagować na zdarzenia losowe, epidemie, pandemie i inne?

Wiele organizacji w Polsce nie brało pod uwagę zagrożenia ciągłości działania, jakim jest np. epidemia czy pandemia. Ten element zawsze wydawał się firmom nierealny, zatem był pomijany przy tworzeniu procesu zachowania ciągłości działalności spółki. Teraz, gdy epidemia wystąpiła, należy przeprowadzić krótką analizę wpływu biznesowego, ocenić, jak epidemia wpływa na organizację, jakie zagrożenia są wywołane przez epidemię – np. braki personelu, braki zasobów, braki środków pieniężnych. Na tej postawie należy stworzyć krótką strategię ciągłości działania, określającą priorytety, na podstawie których budowane będą plany awaryjne, czyli plany określające, jakie działania będziemy podejmować i jak one będą się zmieniać wraz ze zmieniającą się rzeczywistością w kraju lub na świecie.

Po co robić analizę wpływu biznesowego, skoro epidemia dotyczy wszystkich i wszyscy są nią zagrożeni?

To prawda, że wszyscy są zagrożeni pandemią, ale każda organizacja reaguje inaczej na różnego rodzaju zagrożenia w zależności od jej modelu biznesowego, charakteru działalności. Przykładowo inaczej na okoliczności zareaguje spółka produkcyjna, a inaczej spółka, która swoją działalność skupia w internecie. Organizacje są różne, mają różne know-how, inne mają modus operandi, inne cory biznesu – to powoduje, że ta analiza jest ważna, bo jeśli jej nie zrobimy, to może okazać się, że nasza strategia jest nieadekwatna do okoliczności zewnętrznych.

Co z polityką ciągłości działania?

Polityka jest trzonem całego systemu ciągłości, od niej powinno się wszystko zacząć. Zawiera deklaracje najwyższego kierownictwa co do tego, jak działamy, w jakim kierunku mają iść nasze działania. Z niej powinny wynikać dalsze kroki – analiza wpływu biznesowego, tworzenie strategii i planów awaryjnych. To ważny dokument, ale niekoniecznie w sytuacji kryzysu, bo nie jest to priorytet w sytuacji zagrożenia.

Co się składa na strategię ciągłości działania?

Strategia ciągłości działania jest wynikiem analizy wpływu biznesowego. Na końcu analizy widzimy, co jest dla nas najważniejsze, strategia pozwala określić, jakie są priorytety dla firmy. Strategia odpowiada również na pytania, co musi być utrzymane, żeby plany awaryjne realizowały cel strategii, jak będziemy reagowali na zagrożenia, jak będziemy w takiej sytuacji działali.

Czego mają i powinny dotyczyć plany awaryjne?

Plany awaryjne są to bardzo szczegółowe dokumenty opracowywane i wykonywane przez kierowników jednostek organizacyjnych. Przykładowo plan awaryjny dla działu kadr polega na zakomunikowaniu pracownikom zmiany trybu pracy, zakomunikowaniu działowi IT konieczności zapewnienia sprzętu do pracy zdalnej dla pracowników. Plan awaryjny powinien zatem krok po kroku przypisać zadania kierownikom jednostek organizacyjnych, a plan odtworzeniowy powinien określić to, jak przywrócić organizację do normalnego działania, sprzed stanu zagrożenia.

Kto w organizacji powinien zająć się przygotowaniem takich planów?

Te podmioty, które nie mają systemu zapewnienia ciągłości działania, powinny utworzyć specjalny zespół kryzysowy, w skład którego będą wchodzić wszyscy kierownicy jednostek w firmie. Z punktu widzenia normy ISO i tego, jak to powinno wyglądać przed epidemią, to powinna być struktura, która wskazuje zarząd, najwyższe kierownictwo, które ma zainicjować działania, poniżej powinien być komitet sterujący, w skład którego wchodzi menedżer ds. ciągłości działania i architekt ciągłości działania, jeszcze niżej są kierownicy jednostek organizacyjnych, którzy tworzą plany ciągłości działania w ramach swoich procesów biznesowych, a na samym dole wykonawcy planów ciągłości działania, czyli podmioty zewnętrzne, personel wewnętrzny i personel zewnętrzny, którzy inicjują plany ciągłości działania i szkolą personel z ich realizacji. Taka struktura jest potrzebna, żeby był ktoś, kto koordynuje te działania, żeby były spójne i żeby każdy wiedział, za co jest odpowiedzialny.

Jak powinna wyglądać profesjonalnie przeprowadzona analiza wpływu biznesowego?

Przyjrzyjmy się temu na przykładzie funkcji biznesowej – sprzedaż. Proces generowania zamówień wymaga określenia podstawowych czynników, np. maksymalny dopuszczalny czas trwania awarii usługi, minimalny dopuszczalny poziom usługi. Następnie trzeba przeanalizować, jakie zasoby będą potrzebne, żeby proces generowania zamówień był prowadzony – np. telefon, personel, lokalizacja. Trzeba uwzględniać te zasoby pod względem zagrożenia. Następnie trzeba zobaczyć, jakie są zagrożenia np. w przypadku pandemii: brak dostępności personelu, brak możliwości sprzedaży produktów, brak możliwości przyjmowania zamówień. Ostatecznie trzeba określić docelowy czas wznowienia działania oraz punktu odtworzenia całego procesu, czyli przyjmowania zamówień. Tutaj kolejno klasyfikujemy priorytety, określając ich wpływ finansowy, wpływ operacyjny czy wpływ prawny (np. niski, średni, wysoki). Wynikiem tego jest sklasyfikowanie, która z funkcji biznesowych jest najważniejsza i na której należy się skupić przede wszystkim.

Czym są MAO, MBCO, RTO, RPO?

MAO – maximum acceptable outage – maksymalny dopuszczalny czas awarii usługi, czyli z góry zakładamy, że organizacja będzie w stanie wytrzymać określoną długość czasu w trybie awaryjnym.

MBCO – minimum business continuity objective – minimalny dopuszczalny poziom usługi podczas zakłócenia – to etap, w którym proces działa, jest to opis, jak musi wyglądać usługa/proces w czasie kryzysu.

RTO – recovery time objective – docelowy czas wznowienia działania, czyli jak szybko będziemy w stanie wznowić działanie po ustaniu sytuacji kryzysowej.

RPO – recovery point objective – docelowy punkt odtworzenia danych, to punkt, w którym będziemy w stanie efektywnie utrzymać proces po uruchomieniu planu awaryjnego.

Jak powinniśmy przygotować strategię ciągłości działania?

To, co najważniejsze, to identyfikacja priorytetowych procesów. Powinniśmy zmniejszyć nacisk na procesy, które kluczowe nie są, np. prace rozwojowe, unowocześniające. Aby przygotować strategię ciągłości działania, należy zatem: postawić na ochronę procesów priorytetowych, np. sprzedaż, HR, księgowość, sklasyfikować zagrożenia, określić czynniki dla poszczególnych procesów, a także określić sposób postępowania wobec zagrożeń, np. praca zdalna, zastępstwa, naprawy systemów.

Jak szczegółowo opracować plan ciągłości działania (plan awaryjny)?

W większości organizacji takie plany opracowywane były w momencie, gdy nie przewidywano aż takich problemów jak przy pandemii. Należy się skupić na odpowiadaniu na kolejne pytania: kto, kiedy i jak ma zrobić? Powinny one wskazywać działania i skutki tych działań. Menedżer do spraw ciągłości działania to ktoś, kto niezwłocznie po otrzymaniu informacji powinien poinformować klientów i gromadzić informacje o zdarzeniu i komunikować to dalej do kierowników jednostek organizacyjnych, którzy z kolei powinni niezwłocznie po otrzymaniu informacji o zagrożeniu przekazać zwięzły komunikat o zdarzeniu i jego skutkach personelowi. Z kolei lider planu ciągłości działaniami niezwłocznie po otrzymaniu informacji powinien uruchomić plan awaryjny – uruchomić tryb pracy zdalnej oraz zachowanie kluczowego personelu.

Skoro połowa spółek nie przewidywała epidemii (co wynika z ankiety przeprowadzonej przez SEG i BV), to co zrobić, jeżeli takich planów nie było?

W takiej sytuacji trzeba powołać zespół kryzysowy, poinformować kierowników średniego szczebla, że taki zespół trzeba powołać, zwołać spotkanie, powołać osoby, które powinny wejść w skład tego zespołu. W ramach zespołu trzeba zidentyfikować zagrożenia, następnie podjąć działania korekcyjne – natychmiastowe – np. zapewnić środki ochrony osobistej, przeprowadzić wywiady osobowe, dokonać mierzenia temperatury. W przypadku epidemii oczywiście trzeba przygotować plan awaryjny. Taki plan będzie skuteczny, jeśli będzie przewidywał, co się może wydarzyć – trzeba zidentyfikować zdarzenia i przygotować dla nich rozwiązania. Następnie plan awaryjny jest uruchamiany i wdrażany. W związku z tym, że sytuacja nadzwyczajna jest dynamiczna, ten plan awaryjny może ulegać modyfikacjom. Na sam koniec, po zakończeniu zagrożenia, należy odtworzyć normalne działanie firmy.

Jak należy najlepiej zarządzać incydentami?

Ogólne zasady dotyczące zarządzania incydentami powinno polegać na identyfikacji zagrożenia, mitygacji oraz zapobieganiu rozprzestrzeniania się zagrożenia.

Jak powinny wyglądać procedury reagowania na incydenty?

Na poziomie kierowników jednostek organizacyjnych powinno dojść do identyfikacji zdarzenia. Gdy nastąpi incydent, należy go sklasyfikować, uruchomić plan ciągłości działania, zapewnić zasoby, przywrócić normalne działania, zweryfikować, czy działanie jest już właściwe, normalne. Po zamknięciu incydentu należy zaraportować o nim. Na poziomie kierowników jednostek organizacyjnych powinno następować szkolenie z menedżerem ds. ciągłości działania, a także z personelem, który powinien poinformować o zdarzeniu.

Jak należy rejestrować incydenty i podjęte działania?

Trzeba zarejestrować prawidłowe działanie procesu/usługi, zarejestrować incydent zakłócający, uruchomić zasoby, zweryfikować działanie usługi i sprawdzić stan zasobów niezbędnych do wznowienia procesu/usługi – np. alternatywną lokalizację, personel zastępczy, sprzęt zapasowy, kopie bezpieczeństwa.

Jak odtwarzać prawidłowe funkcjonowanie procesu?

Trzeba określić, kiedy należy dokonywać odtwarzania, jakie zasoby przywrócić, kto powinien to zrobić i w jaki sposób. Kroki przywracania powinny być trzy – przykładowo – pierwszy w terminie 48 h od uruchomienia planu awaryjnego, drugi w terminie 72 h od uruchomienia trybu pracy zdalnej, trzeci w terminie siedmiu dni od wystąpienia epidemii.

Jak przygotować się na kolejne zdarzenie nieprzewidziane, mając już doświadczenia po epidemii?

Problemem do tej pory było to, że organizacje nie przykładały wagi do ciągłości działania. Niestety, praktyką jest to, że ciągłość działania dla organizacji nie jest priorytetem. Jeśli organizacja już doświadczyła kryzysu, trzeba zaraportować o przebiegu działań w kryzysie, trzeba to przeanalizować oraz wyciągnąć wnioski na przyszłość. W przyszłości organizacje oczywiście mogą dotknąć różne inne zagrożenia zarówno lokalne, krajowe, jak i atmosferyczne, niekoniecznie światowe, tak jak teraz w okresie pandemii. Przede wszystkim w firmie trzeba określić, jakie jest ryzyko wystąpienia jakiegoś zdarzenia, jakie może mieć skutki dla organizacji.

Kto powinien się zajmować analizą i monitorowaniem, w jaki sposób udało się poradzić z problemem zachowania ciągłości?

Najczęściej tą analizą zajmuje się menedżer ds. ciągłości działania, który musi ocenić nie tylko, czy plany ciągłości były stworzone, ale czy były testowane i jaki był wynik testów, co pozwala ocenić, na ile będą one skuteczne przy okazji kolejnego zagrożenia. Osoba ta musi także ocenić poziom znajomości procedur i planów własnych oraz osób znajdujących się niżej w strukturze organizacyjnej. Kierownicy jednostki organizacyjnej muszą stwierdzić, czy podczas wykonywania planów awaryjnych takie osoby były dostępne, bo dostępność takich osób jest kluczowa. Oczywiście osoby takie również muszą wykazać się znajomością procedur i planów awaryjnych i po zakończeniu zagrożenia należy ocenić ich poziom znajomości – czy osoba zrealizowała swoje zadania w terminie, czy zrealizowała je zgodnie z procedurą. Z kolei lider planu ciągłości działania powinien wskazać błędy w planach awaryjnych oraz określić poziom znajomości planów – czy jakaś przykładowa osoba mogła znaleźć plan awaryjny, czy znała jego zawartość.

W jaki sposób wprowadzić działania naprawcze?

Jeżeli już wiemy, co było największym problemem dla organizacji – np. zabrakło maseczek, zabrakło płynu antybakteryjnego, jest mniej personelu niż powinno być, personel miał niski poziom świadomości w zakresie istniejących planów awaryjnych, plany awaryjne były za rzadko testowane i aktualizowane w szczególności w zakresie komunikacji, brak było aktualnej analizy ryzyka wobec zasobów – na podstawie tych wniosków powinno być podjęte konkretne działanie naprawcze, polegające np. na uruchomieniu programu obowiązkowych szkoleń w zakresie ciągłości działania, zaplanowanie testów planów awaryjnych i odtworzeniowych nie rzadziej niż dwa razy w roku, przeprowadzenie analizy ryzyka i bieżąca aktualizacja zinwentaryzowanych zasobów biorących udział w procesach. Celem wszystkich tych działań jest to, aby system zachowania ciągłości był jak najbardziej dopracowany i działający. Można też pomyśleć nad całkowitą zmianą strategii, jeśli ta dotychczasowa nie sprawdziła się w sytuacji kryzysowej.

Cykl ciągłego doskonalenia – jak powinien wyglądać?

Jest to cykl PDCA – planowania, wykonywania, sprawdzania, wykonywania decyzji. Warto pamiętać o tym, że w przeciwieństwie do wielu innych norm, w normie ISO 22301 – cykl jest trzonem systemu. Jeśli będziemy podejmować działania bez tego cyklu, to jest duże prawdopodobieństwo, że przestanie on działać. W cyklu tym pierwsze miejsce zajmuje planowanie, ustanawianie, jakie działania mają być podjęte, co będziemy zmieniać w stosunku do stanu obecnego. Kolejno powinniśmy wdrożyć, wykonać to, co zaplanowaliśmy w pierwszym kroku. Dobrze to zrobić najpierw na małą skalę, np. w jednym dziale, żeby nie dopuścić do naruszenia ciągłości działania pozostałych procesów. Następnie trzeba sprawdzić, monitorować, czy wyniki działania lub zmiany były takie, jak oczekiwano. Na samym końcu trzeba podjąć decyzję co do tego, czy zmiana będzie całościowa, czy odrzucamy ją i próbujemy czegoś innego.

Na etapie planowania powinniśmy zastanowić się, które procesy lub funkcje są kluczowe dla organizacji, jaki powinien być zakres systemu zarządzania ciągłością, jakie obszary biorą udział w kluczowych procesach, jakie role i zakresy odpowiedzialności powinny powstać w ramach systemu zarządzania ciągłością działania, kto powinien zostać umocowany do pełnienia nadzoru, czy będzie niezbędne skorzystanie z podmiotu świadczącego usługi konsultingowe, jakie systemy informatyczne biorą udział w kluczowych procesach, jaka infrastruktura bierze udział w kluczowych procesach.

Na etapie wykonania powinnyśmy stworzyć politykę ciągłości działania, stworzyć nowe procedury ciągłości działania, przeprowadzić analizę wpływu biznesowego, przeprowadzić analizę wobec zasobów, opracować strategię ciągłości działania, opracować plany ciągłości działania i plany odtworzeniowe, wyszkolić personel z nowych procedur ciągłości działania, umocować osoby funkcyjne w ramach systemu zarządzania ciągłością działania, przetestować działanie nowych procedur.

Na etapie sprawdzania należy wykonać takie czynności jak: audyt systemu zarządzania ciągłością działania, audyt poziomu wdrożenia planów ciągłości działania, audyt poziomu świadomości personelu w zakresie istniejących zagrożeń, audyt bezpieczeństwa fizycznego i środowiskowego, audyt bezpieczeństwa infrastruktury IT, audyt bezpieczeństwa narzędzi programowych i systemów, audyt procedury zarządzania incydentami, audyt procedury zbierania informacji o podatności i podejmowania działań zapobiegawczych.

Na etapie decydowania należy wykonać takie czynności jak: modyfikacja systemu zarządzania ciągłością działania, modyfikacja procedur ciągłości działania, dodatkowe szkolenia personelu w zakresie istniejących zagrożeń, modyfikacja zabezpieczeń fizycznych i środowiskowych, modyfikacja zabezpieczeń infrastruktury IT, modyfikacja zabezpieczeń narzędzi programowych i systemów, modyfikacja procedury zarządzania incydentami, modyfikacja procedury zbierania informacji o podatności i podejmowania działań zapobiegawczych.

Jaki numer ma norma dotycząca ciągłości działania?

To norma ISO 22301. Norma dotycząca wymogów systemu zarządzania ciągłością działania. Można przejrzeć więcej informacji o tej normie na stronie ISO.

Jak się przygotować na zamknięcie firmy w związku z przymusową kwarantanną?

Na chwilę obecną, patrząc na funkcjonowanie państwa i jego działania, należy ocenić, że są irracjonalne, gdyż patrząc na sytuację, powinien zostać ogłoszony stan wyjątkowy. Nie da się przygotować na przeciwdziałanie takiemu zdarzeniu jak odgórny nakaz czy zakaz jakiegoś działania wydany przez państwo. Jedyną radą, jaką można dać, jest przygotowanie wcześniej odpowiedniego zaplecza finansowego, żeby firma mogła przetrwać, mimo trwającego jakiś czas zamknięcia przymusowego, o którym zdecydowało odgórnie państwo.

Co w sytuacji, gdy plan jest, ale nie przewiduje wszystkich sytuacji albo zasoby są niewystarczające?

Tworząc strategie, opieramy się na analizie wpływu biznesowego. Robimy to w danym czasie, a już za tydzień, dwa może się to okazać nieaktualne. W okresie pandemii taka analiza powinna być prowadzona na bieżąco, ciągle. Wraz ze zmieniającą się sytuacją zmieniają się strategie, plany awaryjne. Przy tak dużym zagrożeniu, jakim jest pandemia, nie da się wszystkiego przewidzieć. Dlatego w momencie nasilenia zagrożenia trzeba skupić się na skutecznym zarządzaniu systemem ciągłości działania. Jeśli jest to model elastyczny, to da się go dostosować do zmieniającej się rzeczywistości. Jeśli jest to system skostniały, to nie da się go dostosować do zmieniającego się otoczenia, co będzie rodzić problemy w funkcjonowaniu.

Czy w Bureau Veritas były plany awaryjne związane z epidemią i czy zostały wdrożone?

W Bureau Veritas plany awaryjne były, zostały uruchomione, funkcjonują i są na bieżąco modyfikowane. W dużej grupie kapitałowej taki plan jest zarządzany dwutorowo – centralnie i lokalnie. Schemat zarządzania powoduje zatem, że jest on elastyczny, bo Bureau Veritas funkcjonuje prawie na całym świecie, więc system musi być elastyczny, żeby w każdym kraju była możliwość modyfikacji planu awaryjnego dostosowanego do każdego kraju indywidualnie. W Polsce w Bureau Veritas plan awaryjny działa, dzięki temu możemy funkcjonować.

Skoszarowanie załogi zakładu produkcyjnego – jakie są przesłanki takiego działania?

To taka sytuacja, że pracownik przebywa cały czas w zakładzie produkcyjnym, z zachowaniem odpowiednich środków sanitarnych. Jeśli chodzi o coś takiego, to raczej bym uważał z takim zachowaniem, ograniczeniem są oczywiście przepisy prawa pracy. Nie ma teraz ogłoszonego stanu wyjątkowego, więc zmuszenie pracowników do pozostawania w miejscu pracy ciągle jest raczej niedopuszczalne bez zgody pracowników. Owszem, można zorganizować coś takiego, ale na zasadzie dobrowolności, a nie przymusu.

Czy da się dobrze zaplanować ciągłość działania przez osobę bez doświadczenia?

Oczywiście takie działanie wymaga zarówno wiedzy, jak i doświadczenia. Wiedzę naturalnie może zdobyć każdy i to w miarę szybko, natomiast nie da się przyspieszyć nabywania doświadczenia i w tym zakresie trzeba zawsze upływu czasu i im dłużej ktoś pracuje w zakresie działania w związku z zagrożeniami i im więcej sytuacji kryzysowych udało mu się przetrwać, tym lepiej będzie radził sobie z kolejnymi, większymi. Niestety, tego nie da się nabyć w jeden dzień, trzeba nabyć w miarę upływu czasu.

Czy po analizie wpływu biznesowego i ryzyka nie powinna zostać przeprowadzona analiza rozbieżności?

W sytuacji gdy mamy czas i możliwość przeprowadzenia takiej analizy to tak, można ją przeprowadzić. W sytuacji panującej pandemii raczej ciężko będzie taką analizę przeprowadzić.

Jak utylizować środki ochrony osobistej?

Nie jestem odpowiednią osobą do oceny takich działań i na co dzień się nie zajmuję taką klasyfikacją, ale uważam, że to nie jest odpad niebezpieczny, ale powinien podlegać odpowiedniej segregacji.

Akademia inwestycyjna