Firmy widzą korzyści z wdrożenia systemu zarządzania ciągłością działania - Dariusz Romańczuk, partner zarządzający w Business Continuity Management Group.
Co to jest zarządzanie ciągłością działania (business continuity management – BCM)? Czym różni się od bieżącego kierowania firmą albo jej częścią?
Zarządzanie ciągłością działania należy rozumieć jako całościowy system identyfikujący zagrożenia dla krytycznych procesów organizacji wraz z następstwami tych zagrożeń dla działalności. Pod tym kątem należy także budować odpowiedni system odporności organizacji poprzez opracowanie planów ciągłości działania, które jako zbiór procedur powinny umożliwić organizacji skuteczną reakcję na sytuacje kryzysowe jednocześnie minimalizując potencjalne straty finansowe oraz chroniąc reputację i wizerunek.
Zarządzanie ciągłością działania organizacji, w odróżnieniu od bieżącego kierowania działalnością firmy, jest przede wszystkim ukierunkowane na zarządzanie firmą w momencie wystąpienia sytuacji kryzysowej (awaryjnej), co wymaga również wyznaczenia odpowiedniej struktury organizacyjnej, np. komitetu kryzysowego, zespołów awaryjnych, które odpowiedzialne są za utrzymanie bądź odtworzenie krytycznej działalności firmy w sytuacji kryzysowej i zarządzanie nią aż do powrotu do trybu pracy sprzed zdarzenia.
Jakie są zasady zarządzania ciągłością działania?
W całym systemie możemy wyróżnić kilka zasad obowiązujących przy budowie, wdrożeniu i utrzymaniu systemu. W pierwszej kolejności firma powinna zidentyfikować krytyczne procesy w swojej działalności wraz z wymaganiami zewnętrznymi, jak np. wymagania prawne, regulatorów rynku oraz wewnętrznymi, które mają wpływ na realizację krytycznych procesów (usług). Na tym etapie każda organizacja powinna zidentyfikować zasoby niezbędne do utrzymania bądź odtworzenia procesów w sytuacji kryzysowej. Należy również pamiętać o outsourcingu, zwłaszcza w takich obszarach jak IT, dostawy surowców czy usług związanych z szeroko pojętym bezpieczeństwem.
Poprawnie zidentyfikowane procesy krytyczne wraz z zasobami niezbędnymi do ich realizacji powinny doprowadzić do wyznaczenia dla każdego procesu krytycznego docelowego czasu odtworzenia (Recovery Time Objective). Czas RTO jest podstawowym wskaźnikiem przy analizie wpływu zdarzenia na biznes (Business Impact Analysis – BIA), która jest analizą procesów biznesowych i skutków, jakie zakłócenia działalności biznesowej mogą na nie wywierać.
Kolejny ważny obszar ściśle związany z zarządzaniem ciągłością działania to zarządzanie ryzykiem. Chodzi o zrozumienie jego istoty, proaktywne identyfikowanie ważnych grup ryzyka i takie postępowanie, które umożliwi osiąganie celów – w tym przypadku ciągłości funkcjonowania. Wdrożona metoda zarządzania ryzykiem i skutków zmaterializowania się ryzyka przede wszystkim powinna być zrozumiała dla wszystkich pracowników firmy.
Cały czas jesteśmy na etapie analizy.
Odpowiedzią na zagrożenia jest strategia postępowania wraz ze scenariuszami postępowania. Po jej opracowaniu firma powinna opracować plany ciągłości działania - zbiór procedur i informacji opracowanych i utrzymywanych w gotowości do wykorzystania w przypadku wystąpienia sytuacji kryzysowej.
Co powinno być w tym planie?
Powinien on zawierać zarówno procedury umożliwiające odtworzenie krytycznych procesów biznesowych, jak również procedury związane z zarządzaniem kryzysowym (pierwsza reakcja na zagrożenia) i procedurami awaryjnymi (odtworzeniowymi) dla zasobów teleinformatycznych.
Kolejną zasadą przy wdrożeniu zarządzania ciągłością działania w firmie, a z moich doświadczeń wydaje się bardzo istotna przy wdrożeniu i utrzymaniu systemu zarządzania ciągłością działania, jest regularne prowadzenie testów planów ciągłości działania. W innym przypadku te plany nie mogą zostać uznane za wiarygodne.
Oczywiście, aby całościowy system zarządzania ciągłością działania mógł funkcjonować, muszą być prowadzone audyty i szkolenia uświadamiające zarówno na poziomie osób odpowiedzialnych za utrzymania ciągłości działania, jak też dla wszystkich pracowników.
Czy BCM to sfera, na którą powinny zwracać uwagę wszystkie firmy, czy jej znaczenie rośnie z wielkością firmy?
System zarządzania ciągłością działania przeznaczony jest dla wszystkich organizacji od komercyjnych, przez instytucje państwowe aż do organizacji dobroczynnych i non profit.
Oczywiście, im większa i bardziej skomplikowana struktura organizacyjna firmy, tym bardziej system zarządzania ciągłością działania powinien być traktowany jako element ładu korporacyjnego i stanowić część długoterminowej strategii rozwoju firmy. Takie też są wymagania regulatorów rynku, którzy w coraz większym stopniu wymagają wdrożenia odpowiedniego do skali i wielkości firmy systemu zarządzania ciągłością działania.
Jak wygląda zainteresowanie BCM w Polsce?
Zainteresowanie ciągłością działania wynika przede wszystkim z wymagań prawnych. Oczywiście z roku na rok zarządy firm w coraz większym stopniu rozumieją i widzą korzyści z wdrożenia systemu zarządzania ciągłością działania, jako bezpiecznego systemu wspierającego zarządzanie. Niestety są jeszcze firmy, które uważają wdrożenie ciągłości działania jako zbędne. Argumentują, że firma nie jest podatna na zakłócenia, czy że oznacza to dużo dodatkowych wymagań. Wynika to z niewiedzy kierownictwa.
