Termin ciągłość działania jest dosyć pojemnym sformułowaniem co stwarza szereg wyzwań i oczekiwań przy wdrażaniu planów ciągłości działania (BCP). Właśnie ta różnorodna percepcja tego samego tematu wpływa często na to, że trudno podjąć decyzję o wdrożeniu.
Jednocześnie pojawia się szereg pytań o zakres, czas realizacji, wymagane zaangażowanie czy dobre praktyki. Odpowiedzią na nie, często jest przywołanie normy ISO 22301, która w wymiarze Zarządzania Ciągłością Działania (BCM) powoduje gęsią skórę w organizacjach, ze względu na wcześniejsze doświadczenia z opracowywania systemów np. jakości. W tym momencie pojawia się również pytanie u decydentów, po co jeszcze planować gdy jest to codzienność każdej organizacji. No i mamy pat. Jeśli wdrożenie nie zostanie trochę „wymuszone” przez klientów lub ubezpieczycieli, to wiele wdrożeń jest odkładanych na później.
Czas pandemii sprzyjał jednak wdrożeniom BCM w organizacjach i co najważniejsze udało się skutecznie rozpocząć i realizować projekty w trybie zdalnym. To nie spowodowało jednak, że standardowe pytania zniknęły. Wymagały one bardzo konkretnych odpowiedzi i wyjaśnień, które przekonają decydentów do realizacji projektów oraz praktycznej formy realizacji. Kilka z tych zagadnień pozwolę sobie przybliżyć poniżej.
OCZEKIWANIA a WYKONALNOŚĆ
Zacznijmy od częstego oczekiwania ze strony ubezpieczycieli aby wdrożenie nastąpiło w okresie ubezpieczenia. O ile opracowanie BCP jest możliwe do trzech miesięcy to już wdrożenie rozwiązań zapewniających ciągłość działania będzie trudne do realizacji. Barierą będzie np. konieczny czas na weryfikacje rozwiązań (zbadanie dostępności, negocjacje umowy), nie mówiąc o środkach finansowych jakie mogą być z nimi związane (budżet nie jest z gumy). Inną sprawą jest, iż możemy zdecydować się na modyfikacje naszego modelu działania, co wymaga podjęcia strategicznych decyzji, np. skorzystanie z kilku dostawców, a nie tylko z jednego, wymaga analizy czy nie wzrosną nam koszty na tyle, że staniemy się mniej konkurencyjni.
Innym pojawiającym się zagadnieniem, jest możliwość zmniejszenie franszyzy w ubezpieczeniu utraty zysku, np. z 30 dni do 7 dni, po opracowaniu planu. Rozumienie tego zagadnienia jest często mocno odmienne przez każdą ze stron. To co budzi największe emocje to założenie, że należy opracować plan, który zapewni przywrócenie działania w tym okresie. Samo przygotowanie planu nie daje nam jednak takiej gwarancji. Wnioski z procesu mogą dopiero wskazać nam, w jaki sposób i jakimi środkami będziemy wstanie działalność przywrócić. Opracowując BCP być może w kolejnym okresie ubezpieczenia ryzyko będzie już lepiej zarządzane.
Wymienione zagadnienia to tylko wybrane przykłady różnic w postrzeganiu sytuacji i wymagań. Kolejne zagadnienia spróbuje przybliżyć w oparciu o model 7 kroków jakie trzeba wykonać zanim napiszemy swój plan. Nie chodzi w nim o projektowe podejście do opracowania planu, a wyjaśnienie kwestii jakie trzeba rozważyć przy jego opracowaniu.
7 KROKÓW ZANIM NAPISZEMY PLAN
Poniżej krótka charakterystyka wybranych zagadnień często różnie rozumianych.
Kroki 1 – 3 Ocena ryzyka oraz scenariusze
Pierwsze kroki to często najbardziej energetyzująca część procesu ale wbrew pozorom najprostsza do realizacji w kontekście planowania ciągłości działania. Zwykła kartka papieru i wspólna dyskusja o wewnętrznych i zewnętrznych zagrożeniach może być wystarczająca. Podkreślam słowo wspólna, gdyż sam plan ciągłości dotyka wiele funkcji w organizacji, a bez ich zaangażowania nie będzie skuteczny.
Krok 1 sugeruje abyśmy spojrzeli na organizację szeroko i zastanowili się nad kluczowymi zagrożeniami. Krok 2 to zdefiniowanie ryzyka, które powinny być zarządzane poprzez nasz plan. Plany co do zasady są konstruowane dla ryzyka o niskim prawdopodobieństwie i katastroficznych skutkach. Zatem, jeśli identyfikujemy zagrożenia, których skutki jesteśmy w stanie zarządzać przez obecnie funkcjonujące w organizacji procedury, to nie powielajmy tego w planie. Jest to źródło komentarza działów operacyjnych, produkcji czy UR, że tym już zarządzają i mają rację. Dlatego trzeba wyjaśnić jakie zagadnienia będą przedmiotem planowania ciągłości działania, a okaże się że obawy znikają.
Pamiętajmy również, że w naszym rejestrze po całościowym przeglądzie są inne ryzyka, które będą zarządzane w ramach pozostałych procesów czy systemów (płynność, reklamacje, inne). Nimi oczywiście też nie będziemy się tutaj zajmować. Nie oznacza to, że ich skutki nie mogą zakłócić naszej działalności czy w przyszłości niektórych z ryzyk, nie możemy uwzględnić w planie.
Gdy już wytypujemy kilka zagrożeń, które możemy zakwalifikować do grupy ryzyka ciągłości działania, to pojawia się pytanie czy dla każdego z nich musimy określać strategie. Przechodzimy do Kroku 3, w którym zdefiniujemy nasze scenariusze, względem których powinniśmy zaplanować nasze działania. Spójrzmy ponownie na naszą listę ryzyk i zwróćmy uwagę, że niektóre z nich mogą mieć podobne konsekwencje dla działalność organizacji jeśli się zmaterializują.
Przykładowo, pożar może skutkować utratą części lub całości budynków, maszyn i wyposażenia uniemożliwiając ich dalsze użytkowanie. Taki sam skutek będzie miała powódź. O ile sposób reagowania na zagrożenia będzie zupełnie inny to wymagania w zakresie odbudowy prowadzonej działalności są niemal identyczne. To oznacza, że możemy zaadresować wiele ryzyk poprzez planowanie dla mniejszej liczby scenariuszy końcowych. Ułatwia to proces planowania ciągłości działania.
Krok 4 i 5 Tolerancja i ramy czasowe odbudowy
Kolejne kroki to zagadnienia gdzie zaczynają się schody. Po pierwsze konieczne jest ustalenie przez organizację poziomu bólu, tj. punktu po przekroczeniu, którego strata staje się nieakceptowalna, z długoterminowymi oraz nieodwracalnymi konsekwencjami. Ten element staje się punktem odniesienia określającym szybkość, z jaką organizacja powinna zareagować na incydent.
Po drugie trzeba określić terminy dla odbudowy naszej działalności. Możemy to zrobić zadając sobie następujące pytanie: Ile czasu mamy od momentu zaprzestania dostarczania produktów do klientów, a pojawieniem się nieakceptowalnych konsekwencji (np. decyzja klienta o rezygnacji z dalszej współpracy)? Należy zadać sobie to pytanie względem każdego produktu / usługi aby mieć pełny zestaw terminów, względem których należy przywracać działalność.
Ten etap wymaga właśnie wspólnej dyskusji – włączając w nią działy sprzedaży/obsługi klienta, finansów, działy produkcji czy zapewnienia jakości z mocnym zaangażowaniu kierownictwa organizacji – bez ustalenia czy przynajmniej zarysowanie ram czasowych dla odbudowy i naszego poziomu tolerancji, kolejne kroki będą bardzo trudne.
Krok 6 i 7 Opcje i strategie działania
Gdy już mamy konsensus co do tego, które obszary oraz jak szybko chcielibyśmy przywracać to wybieramy najgorszy możliwy scenariusz z kroku 3 i musimy przemyśleć, w jaki sposób będziemy to robili. Spróbujmy określić główne elementy swojej reakcji na zaistniałą sytuację (alternatywna lokalizacja, wyższe poziomy zapasów, partner zewnętrzny, itp.), a następnie przejdźmy do kolejnego najgorszego scenariusza. Podczas tego procesu przekonamy się, że można zbudować większość sposobów reagowania z tych samych elementów. I tak dalej. Uwzględniając wszystkie scenariusze, stworzymy zestaw możliwych opcji działania, które będziemy mogli wykorzystać dla większości sytuacji, nawet dla tych nieprzewidzianych.
Strategia to sposób działania, który przyjmujemy w obliczu konkretnego scenariusza. Składa się z opcji, które zdefiniowaliśmy w kroku 6. Musimy dobrać elementy w taki sposób aby pasowały do siebie i stanowiły spójną całość. Kiedy będzie realizował się jakiś scenariusz, będziemy mogli wybrać najlepiej pasującą strategię, zaadoptować i zastosować do sytuacji.
Gdy już przemyślimy te zagadnienia to możemy przejść do napisania planu, a następnie do budowy odporności organizacji do zakłócenia. Pamiętajmy, iż przygotowanie planu jest tylko początkiem drogi do budowy odporności, ale na pewno pomoże w konstruktywnych dyskusjach przy aranżacji ubezpieczeń czy realizacji rekomendacji po lustracyjnych. Kluczowy dostawca wg. wartości dostaw czy rezerwowy transformator mogą nie być tym co zdecyduje, że szybko przywrócimy naszą działalność do stanu sprzed szkody czy zmniejszymy wysokość wypłaconego odszkodowania z polisy utraty zysku.