Zarządzanie bezpieczeństwem – część II. Kontekst zewnętrzny, analizy makro.

Kilka tygodni temu rozpoczęliśmy cykl artykułów ,,Zarządzanie bezpieczeństwem”. Tych, którzy jeszcze nie mieli okazji przeczytać części I zapraszamy do lektury, a wszystkich, którzy zapoznali się już z częścią I, zapraszamy do poszerzenia swoich horyzontów w części II 🙂

Analizy makrootoczenia nie są niczym nowym w strategicznym zarządzaniu. Jego zaimportowanie do systemów zarządzania bezpieczeństwem i ochroną rozpoczęły się od ISO 31000:2009, czyli normy dotyczącej systemowego podejścia do zarządzania ryzykiem, gdzie uzyskały nazwę “kontekst”. Wcześniej funkcjonowały w wybranych organizacjach i instytucjach, nazywane były częściej analizami makro i mikrootoczenia organizacji. Dziś zajmiemy się pierwszą z grup analiz, czyli analizą makrootoczenia. Zanim jednak przejdziemy do narzędzi, dwa zdania wyjaśnienia słowa “kontekst”.

Kontekst a bezpieczeństwo

Każda organizacja funkcjonuje w pewnym środowisku. Możemy wyróżnić trzy obszary podstawowe:

  • Makrootoczenie – czyli tzw. otoczenie dalsze. Są to obszary, na które bezpośrednio organizacja nie ma wpływu. Takie jak przepisy prawne, ekonomia, społeczeństwo, rozwój technologiczny.
  • Mikorootoczenie – czyli tzw. otoczenie bliższe. W tym obszarze mamy do czynienia już z otoczeniem, na które organizacja ma nieco większy wpływ. Są to dostawcy, odbiorcy oraz konkurenci.
  • Środowisko wewnętrzne – organizacyjne nazywane czasem kulturą organizacji, a w przypadku bezpieczeństwa kulturą bezpieczeństwa.

Uświadomienie sobie wzajemnych oddziaływań między tymi obszarami ma kluczowy wpływ na kształtowanie systemu zarządzania bezpieczeństwem i ochrony w każdym obszarze.

Czynniki makrootoczenia wpływają na organizację tak silnie, jak są redukowane (zagrożenia) bądź wzmacniane (szanse) przez czynniki wewnętrzne. Działanie to nazywa się działaniem opartym o ryzyko. Analogicznie, rozważenie wpływu otoczenia i organizacji na jej bezpieczeństwo jest myśleniem opartym o ryzyko, czyli spełnia jedno z ważniejszych wymagań większości norm i niektórych przepisów prawa w tym np. RODO.

PEST

Analiza makrootoczenia PEST, na której oparty zostanie dzisiejszy artykuł, jest analizą otoczenia dalszego (kontekstu zewnętrznego). Jej istotą jest pogrupowanie czynników i opisanie ich tak, aby w kolejnym etapie, czyli rozważenia kontekstu mieć materiał do oceny na ile czynniki te stanowią dla organizacji szanse, które można wykorzystać, a na ile zagrożenia, które należy redukować.

Nazwa analizy PEST jest akronimem słów określających grupy czynników:

  • P – polityczne i prawne. W rozwinięciach analizy do PESTLE lub PESTEL (Wielka Brytania) czynniki prawne zostają wydzielone do odrębnej grupy – L od angielskiego słowa “legal” – prawo;
  • E – ekonomiczne,
  • S – społeczne,
  • T – technologiczne. W rozwinięciach analizy do PESTLE lub PESTEL, czynniki środowiskowe, znajdujące się w grupie T wydzielone są do odrębnej – E od angielskiego słowa “environemnt” – środowisko.

Poziomy analizy

Pełna analiza wykonywana jest na trzech podstawowych poziomach:

  • Globalny – tu mamy do czynienia z czynnikami funkcjonującymi na całej ziemi. Przykładowo dla czynników z grupy “P” będą do konwencje międzynarodowe. Obszar ten można zawęzić do konkretnego regionu, np. Europejskiego Obszaru Gospodarczego, jeśli np. analiza ta będzie wykonywana dla organizacji działającej tylko na obszarze EOG,
  • Krajowy – czynniki brane pod uwagę dotyczą konkretnego kraju,
  • Lokalny – czynniki brane pod uwagę dotyczą konkretnego obszaru, dość wąsko zakreślonego, gdzie firma ma swoją siedzibę lub oddziały,

W przypadku, gdy organizacja jest rozproszona analizy globalne powinny zostać uzupełnione analizami krajowymi i lokalnymi analogicznie do siedzib i oddziałów.

Przykład analizy:

Grupa: P (polityczne i prawne – podstawowa struktura PEST)

Poziom: Lokalny

Czynnik: Przepisy prawne o zagospodarowaniu przestrzennym.

Ocena: Zakład przemysłowy zlokalizowany jest w obszarze przylegającym do terenów mieszkalnych. Tereny są wystawione na sprzedaż. Na terenie nie został wprowadzony plan zagospodarowania przestrzennego.

Wpływ na organizację: Średni do dużego (w skali od 0 do 3, 2 ze strzałką w górę). Możliwość ograniczenia działalności zakładu w wyniku wprowadzenia niekorzystnych regulacji.

Myślenie oparte o ryzyko

W odniesieniu do systemów zarządzania bezpieczeństwem oraz myślenia opartego o ryzyko warto jest dodatkowo ocenić, czy działanie w organizacji jest adekwatne do siły i możliwości wystąpienia (prawdopodobieństwa) zagrożenia. Reakcji czy też możliwości oddziaływania na czynniki makro nie jest zbyt wiele i nie zawsze są skuteczne, szczególnie w odniesieniu do poziomu globalnego lub krajowego. Lokalnie możliwości są już nieco większe. Najbardziej typowymi sposobami reagowania są:

  • Monitorowanie czynnika;
  • Monitorowanie i przygotowanie organizacji;
  • Monitorowanie, przygotowania organizacji oraz pośrednie oddziaływanie.

Adekwatność, czyli działanie oparte o ryzyko

Działanie oparte o ryzyko jest następstwem myślenia opartego o ryzyko. Nie pojawia się na dziś jeszcze w zbyt wielu standardach jako wymaganie z racji traktowania jako naturalne następstwo. Analizę makro na modelu PEST można wykorzystać zarówno do zaplanowania działania jak i wykazania, że koncepcja jest w pełni wdrożona w organizacji.

W praktyce realizowane jest to taki sposób, że w formularzu, w którym oceniamy wpływ organizacji oraz jej reakcję, pojawia się dodatkowy komentarz czy działanie to jest właściwe i wystarczające, czy należy może zwiększyć zaangażowanie lub odwrotnie, ograniczyć.

Materializacja

Przykład powyżej pochodzi z autentycznych analiz realizowanych na rzecz bezpieczeństwa jednego z zakładów przemysłowych, wykonanej w 2007 roku, a sam model używany jest od 2005 roku. W przykładzie zmaterializowało się zagrożenie, którym było uchwalenie niekorzystnego planu zagospodarowania przestrzennego. Było to zdarzenie szczytowe, z którego dopiero można było estymować ryzyko w różnych kategoriach. Najważniejszym jednak skutkiem był brak możliwości rozbudowy zakładu co spowodowało konieczność przeniesienia produkcji w nowe miejsce.  

RODO

W artykule przewija się informacja o tym, że w RODO wymagane jest myślenie oparte o ryzyko. Sam przepis wymaga oceny zagrożeń, siły ich oddziaływania na osoby, których dane dotyczą, wskazując ryzyko naruszenia praw i wolności osoby. Jednak dobrze wykonana identyfikacja czynników prawnych pozwala zidentyfikować zagrożenia dla firmy wynikające z RODO, którymi są nie tylko wysokie kary, ale też i inne działania organów nadzorczych, w tym np. czasowe lub stałe zakazanie przetwarzania danych osobowych.

Synergia

Dobrze opracowany opis kontekstu zewnętrznego, czy dokładniej wykonanych analiz można wykorzystać w wielu obszarach, nie tylko w odniesieniu do bezpieczeństwa. Uświadomienie sobie, jakie czynniki w jaki sposób oddziałują na naszą organizację, jest doskonałym wstępem do wykonania analizy SWOT. A ta bardzo często jest pierwszym wyznacznikiem rodzaju strategii działania całej organizacji.

Ale oprócz strategii jako takiej, kontekst i jego rozważenie wymagane jest już praktycznie w większości standardów. Ostatnim obszarem, w którym kontekst organizacji (zewnętrzny i wewnętrzny) powinien być rozważany to RODO oraz kolejne projektowane przepisy, w których nabiera on coraz większego znaczenia.

Które szkolenia w ESSA?

Analizy makrootoczenia są w pełni i szczegółowo omawiane oraz ćwiczone w trakcie szkolenia Zarządzanie Bezpieczeństwem (wcześniej strategiczne i operacyjne zarządzanie bezpieczeństwem);

Dodatkowo tematyka analizy PEST(LE) pojawia się w różnym kontekście na szkoleniach:

  • Analiza zagrożeń i Szacowanie i ocena ryzyka (źródła zagrożeń) a także BIA – analiza wpływu na biznes oraz BCM (w kontekście zagrożeń o dużym wpływie);
  • Zarządzanie kryzysowe oraz Zarządzanie incydentami (typowane skutki oraz raporty sytuacyjne i AAR – after action review);
  • Szkoleniach z grupy Safety & Security, czyli RODO, ochrona przeciwpożarowa, ochrona fizyczna i inne zakresowe (zagrożenia oraz możliwości i ograniczenia dla zabezpieczeń);
  • Audyt bezpieczeństwa (w kontekście prawidłowości realizowanej oceny kontekstu w obszarach, w których działanie to jest obowiązkowe, a więc RODO, standardy ISO)

NAJBLIŻSZE SZKOLENIE ZARZĄDZANIE BEZPIECZEŃSTWEM ODBĘDZIE SIĘ 11-12.02.2019, W KATOWICACH. CENA:1800 ZŁ. WIĘCEJ INFORMACJI ORAZ ZAPISY: SZKOLENIA@ESSA.PRO . ZAPRASZAMY DO KONTAKTU!

Nadchodzące szkolenia

Zarządzanie ciągłością działania
  • Grudzień 11, 2019
  • 10:00 to 17:00
  • Warszawa
Audyt bezpieczeństwa
  • Grudzień 16, 2019
  • 10:00 to 17:00
  • Warszawa
Dokumentacja bezpieczeństwa
  • Styczeń 8, 2020
  • 10:00 to 17:00
  • Warszawa
Personel bezpieczeństwa
  • Styczeń 9, 2020
  • 10:00 to 17:00
  • Warszawa
Wiedza i szkolenie w bezpieczeństwie
  • Styczeń 10, 2020
  • 10:00 to 17:00
  • Warszawa
Manager ochrony fizycznej
  • Styczeń 15, 2020
  • 10:00 to 17:00
  • Warszawa
Zarządzanie incydentami bezpieczeństwa
  • Styczeń 21, 2020
  • 10:00 to 17:00
  • Warszawa
Zarządzanie kryzysowe
  • Styczeń 22, 2020
  • 10:00 to 17:00
  • Warszawa
Analiza wpływu na biznes (BIA)
  • Styczeń 30, 2020
  • 10:00 to 17:00
  • Warszawa