Business impact analysis – analiza wpływu na biznes

Business resilience

Obecnie trwający kryzys związany z koronawirusem zmusił wiele organizacji do przeglądu swoich procedur związanych z zarządzaniem kryzysem, ciągłością działania i powoli kieruje w stronę myślenia o odporności i trwałości organizacji.

Business resilience to stosunkowo nowy termin. Jak trudny do zrozumienia mogą świadczyć o tym dyskusje w środowiskach anglojęzycznych, w których nawet eksperci pracujący przy globalnych łańcuchach dostaw, w strukturach międzynarodowych systemów zarządzania ciągłością działania, nie do końca pojmują istotę znaczenia odporności i nabycia trwałości w organizacji. Dość często “resilience” jest traktowane jako bardziej zaawansowane “business continuity”. A to niestety błąd.

Analizy ryzyka, analiza wpływu na biznes

Podstawą wszelkich działań związanych z odpornością organizacji jest właściwe rozumienie wpływu na biznes zarówno w klasycznym ujęciu ryzyka jak i wpływu ocenianego wraz z funkcją czasu. Dość często spotyka się systemy, które w sposób rozłączny stosują te dwa podejścia, tworząc dwa różne systemy, co prowadzi do dwóch różnych analiz. I do dużo bardziej niebezpiecznego zjawiska – dualizmu w ocenie wpływu. Dualizmu niebezpiecznego, bo wynikającego z różnych metod zarządzania ryzykiem oraz ciągłością działania, które w odporności powinny się uzupełniać, a nie rywalizować.

Bardzo istotny jest również sposób prowadzenia analizy wpływu na biznes (Business Impact Analysis – BIA), w ramach której określane są procesy krytyczne. Dzisiejszy czas pokazuje, że krytyczności procesów w wielu firmach nie wynikają z kluczowych usług czy produktów, jak wskazuje np. specyfikacja techniczna ISO/TS 22317. Wiele procesów krytycznych po prostu jest wyznaczonych na zasadzie “wydaje mi się”. I co najważniejsze, brakuje również zejścia o szczebel niżej. Czyli do aktywności krytycznych, od których zależą procesy.

Zarządzanie incydentem, a zarządzanie kryzysowe w kontekście odporności

Kolejnym elementem, który jest nadal słabo rozumiany w kontekście odporności i trwałości organizacji, jest kwestia zarządzania kryzysowego. Przez lata zespoły kryzysowe osadzone były w strukturze zarządzania ciągłością działania. Oznaczało to działanie związane z incydentem, czy nawet sytuacją kryzysową, która naruszała tzw. limity czasowe. I tak samo działał CMT – crisis management team. Sztab kryzysowy powoływany był (i nadal w wielu miejscach jest) na czas istnienia tzw. “sytuacji kryzysowej”, a po jej zakończeniu rozwiązywany (dokładnie po fazie odbudowy). W naszych szkoleniach posługujemy się zestawem dobrych praktyk wydanych w strukturze standardu brytyjskiego BS 11200. W nim zawartych zostało sześć podstawowych różnic między incydentem czy sytuacją kryzysową a prawdziwym kryzysem i w rozumieniu tego standardu kryzys nie kończy się w momencie, w którym działamy znów na 100%. Nie jest to tak naprawdę możliwe w sytuacji, w której zmienia się zbyt wiele, czy to w otoczeniu (kontekst zewnętrzny) czy wewnątrz organizacji (kontekst wewnętrzny).

Analogicznie jednak do analizy ryzyka i BIA, czyli niejako dwóch systemów, które powinny działać komplementarnie, również i plany ciągłości działania powinny współdziałać z zarządzaniem kryzysowym w ujęciu szerszym niż tylko obecne zarządzanie kryzysowe w strukturze BCM/BCP. Innymi słowy CMT funkcjonujące w celu przywrócenia działania organizacji w dość ściśle wyliczonym czasie przestoju bądź naruszenia procesów (MTPD, BIL, MAO), powinny współpracować z tymi zespołami, które będą obsługiwały skutki następujące już po wznowieniu działania i przywrócenia na satysfakcjonującym poziomie. Tym bardziej, że o przetrwaniu organizacji mogą decydować również dostrzeżone szanse wynikające z kryzysów. A te są trudne do zauważenia, jeśli zarządzaniem kryzysowym obejmujemy tylko te działania, których celem jest przywrócenie naszej dobrze znanej produkcji czy usług.

Dojrzałość organizacji

Odporność organizacji jest trudnym terminem do zrozumienia bez zrozumienia dojrzałości organizacji. W naszych pracach rozwojowych zagadnienie dojrzałości organizacji pojawiło się już w 2012 roku. Porównujemy organizacje do cyklu życia człowieka. I analogicznie, małe dzieci praktycznie nieświadome zagrożeń muszą być prowadzone przez dorosłych. Pilnowane, aby sobie krzywdy nie zrobiły. Młodzież wkraczająca pomału w dorosłe życie również styka się z problemami postrzegania świata jako dość bezpiecznego, otwartego na pomysły. I wtedy pojawiają się wypadki, śmierć rówieśników i pierwsze kryzysy.

Organizacje nabywają dojrzałości w dość podobny sposób. W naszej pracy posługujemy się 4 stopniową skalą, podobnie jak jest to w standardzie ISO 22325, związanym z pojemnością organizacji na zdarzenia kryzysowe. Jako Europejska Akademia Bezpieczeństwa i Ochrony omówiliśmy ten standard jeszcze w fazie projektu (community draft) w trakcie konferencji BSI Polska, w 2016 roku. Konferencja dotyczyła ciągłości działania w infrastrukturze krytycznej.

Nieco inne podejście możemy znaleźć w standardzie brytyjskim BS 65000, który jest przewodnikiem w obszarze trwałości i odporności organizacji (BS 65000:2014 Guidance on organizational resilience). W tym przypadku mamy do czynienia z pięcioma poziomami inaczej definiowanymi. Jako pierwsza firma w Polsce prowadziliśmy szkolenie w 2016 roku związane z tym zagadnieniem i w oparciu o standard BS 65000 i BS 11200 (zarządzanie kryzysowe).

Niezależnie jednak od podejścia, czynnik dojrzałości wydaje się krytycznym w rozumieniu konieczności tworzenia struktur trwałych i odpornych. Podobnie jak to ma miejsce w życiu, osoby dorosłe, samodzielnie już prowadzące gospodarstwo domowe co do zasady zastanawiają się nad tym, jak żyć, jak rozwiązywać problemy i jak funkcjonować mimo kryzysów i zdarzeń losowych.

Więcej o business reslilience:

Artykuł w kontekście prac w BSI nad standardem ISO 22316, data publikacji 19 maja 2016: https://www.linkedin.com/pulse/odporność-trwałość-organizacji-grzegorz-greg-krzeminski/

Artykuł po konferencji: “Business Continuity & Resilience – Londyn, 2015”. Konferencja przekształciła się w cykl “From Risk 2 Resilience”, wydarzenia warsztatowo-konferencyjne prowadzone w Londynie, Manchesterze, Dublinie. Data publikacji: 19 września 2015: https://www.linkedin.com/pulse/resilience-nowa-moda-czy-grzegorz-krzeminski/

Analiza wpływu na biznes (BIA) – szkolenie online 08.04.2020, cena: 600 zł netto

Sprawdź program szkolenia –> BIA 

Nadchodzące szkolenia

Warsztat: Ryzyko w RODO
  • 8 lipca, 2020
  • 17:00 to 20:00
  • On-line
Zarządzanie ciągłością działania
  • 13 lipca, 2020
  • 10:00 to 17:00
  • Warszawa
Audytor (R)ODO
  • 15 lipca, 2020
  • 10:00 to 16:00
  • On-line
Warsztat: DPIA w RODO
  • 21 lipca, 2020
  • 17:00 to 20:00
  • On-line
Manager bezpieczeństwa fizycznego
  • 28 lipca, 2020
  • 10:00 to 16:00
  • Warszawa
RODO dla Managerów
  • 4 sierpnia, 2020
  • 10:00 to 13:00
  • On-line
Komunikacja kryzysowa
  • 5 sierpnia, 2020
  • 10:00 to 16:00
  • Warszawa
Zarządzanie bezpieczeństwem
  • 24 sierpnia, 2020
  • 10:00 to 17:00
  • Warszawa
BHP dla managerów
  • 2 września, 2020
  • 10:00 to 13:00
  • On-line
Ochrona ppoż dla managerów
  • 7 września, 2020
  • 10:00 to 13:00
  • On-line