Od dnia wybrania Polski i Ukrainy na współorganizatorów mistrzostw Europy w piłce nożnej Euro 2012 trwa dyskusja, w której najczęściej pojawiające się słowa to modne dziś „ryzyko” i „zagrożenia”. Specjaliści w zakresie bezpieczeństwa publicznego, antyterroryzmu, zarządzania infrastrukturalnymi projektami inwestycyjnymi prześcigają się w prognozowaniu zdarzeń, które w kontekście tak wielkiej imprezy mogłyby mieć katastroficzne skutki.
Opóźnienia i przeciążenia
W dyskusji pojawiają się kwestie ryzyka: opóźnień w realizacji kluczowych inwestycji, ciągłości łańcucha dostaw, zatrucia żywności, przeciążenia sieci telekomunikacyjnych i energetycznych, przeciążenia infrastruktury transportowej (np. zatory na drogach, czasowa likwidacja parkingów, opóźnienia w transporcie lotniczym), zwiększonego zapotrzebowania na usługi świadczone przez firmy, ataków cyberprzestępców itd.
Według większości specjalistów od zarządzania kryzysowego podobne analizy to dobry znak, ponieważ jeśli przedsiębiorca przygotuje się na najgorsze zdarzenie, przetrwa także te o mniejszym wpływie i zagrożeniu. Służby odpowiedzialne za bezpieczeństwo publiczne pracują intensywnie, aby zminimalizować prawdopodobieństwo wystąpienia jakiegokolwiek zagrożenia.
W tym kontekście ważne są aktualne informacje o zagrożeniach, na jakie przedsiębiorcy powinni się przygotować przed Euro 2012. Dlatego też warto się skupić na kwestiach związanych z bezpieczeństwem i ciągłością działania firm, które w trakcie tego turnieju będą musiały działać w dość trudnej organizacyjnie sytuacji.
Co myślą menedżerowie
Z badań przeprowadzonych w Wielkiej Brytanii wśród menedżerów zarządzających firmami z sektora małych i średnich przedsiębiorstw zatrudniających od 20 do 200 pracowników wynika brak świadomości zalet, jakie niesie wdrożenie rozwiązań w zakresie ciągłości działania firmy.
Powszechne niedobory
Menedżerowie są przekonani, że:
- brakuje zasobów – firmy nie stać na poniesienie kosztów lub poświęcenie czasu menedżerów na opracowanie choćby podstawowego planu ciągłości działania,
- brakuje analizy wpływu – firma przetrwa każdą przerwę w działaniu bez strat finansowych, negatywnego wpływu na wizerunek oraz utraty klientów,
- brak planowania scenariuszy zdarzeń w kontekście prawdopodobieństwa ich wystąpienia – dominujący jest pogląd, że zdarzenia są albo za małe, aby się nimi zajmować, albo też za duże, żeby się z nimi mierzyć; natomiast tymi przewidywalnymi będzie łatwo zarządzać po ich wystąpieniu,
- brak priorytetów – uważa się, że jeśli kryzys nie wydarzył się dotychczas, to nie ma potrzeby podejmować jakichkolwiek działań w zakresie planowania działań na wypadek jego wystąpienia.
Absencja lub niedostępność kluczowych usług
Za pół roku odbędą się igrzyska olimpijskie w Londynie. Jedno z głównych zagrożeń zidentyfikowanych w tym mieście dotyczy możliwości zapewnienia transportu publicznego w związku z tym, że w trakcie igrzysk będzie ponad 5,3 miliona gości.
Jeden z komitetów zaleca firmom w centrum miasta, aby umożliwiły pracownikom zdalną pracę z domu. Ma to odciążyć komunikację miejską. Jednocześnie istotnym zagrożeniem dla przedsiębiorstw może być niedostępność pracowników w związku z utrudnieniami w transporcie lub zwykłą absencją związaną z uczestnictwem w imprezie.
Badania wykazują, że kwestie niedostępności pracowników mogą być realnym zagrożeniem, ale tylko 33 proc. menedżerów przyznało się, że myśli o tym, jak sobie poradzić z absencją. Wśród rozważanych strategii jest wprowadzenie elastycznych godzin pracy, możliwość pracy z domu, dodatkowe urlopy, aby umożliwić pracownikom obejrzenie igrzysk lub montaż telewizorów w miejscu pracy.
Firmy powinny przygotować się także na wypadek niedostępności kluczowych lokalizacji. Mówiąc o zagrożeniach, które mogą utrudnić operacje naszej firmy, w analogiczny sposób trzeba zweryfikować zdolność realizacjikluczowych usług przez naszych dostawców. Wiele firm zależy od usług zakupionych na zewnątrz.
Tylko największe firmy pamiętają o odpowiednich zapisach w umowach, które mają wymóc na usługodawcach zabezpieczenie ciągłości usług. Nieliczne z nich same wykonują lub zlecają wykwalifikowanym ekspertom wykonanie audytów – oceny wdrożonych rozwiązań w zakresie ciągłości działania.
Jeśli chodzi o ocenę sytuacji polskich przedsiębiorstw, trudno jest znaleźć podobne badania opisujące stopień przygotowania w zakresie ciągłości działania. Część firm, przede wszystkim większych (głównie z branży finansowej), zobligowanych na podstawie przepisów branżowych czy też bezpośrednio przez swoich właścicieli, przygotowała odpowiednie rozwiązania w zakresie zarządzania ciągłością działania.
Jednak nadal pozostaje pytanie, czy wdrożone przez nie procedury i plany są regularnie aktualizowane i testowane. Nurtuje także niepewność, co z innymi firmami, które będą realizowały usługi związane z obsługą turnieju (operatorzy telekomunikacyjni, firmy energetyczne, firmy odpowiadające za miejski transport czy media).
Wymagania dla tych firm określa ustawa z 26 kwietnia 2007 r. o zarządzaniu kryzysowym, która w art. 3 definiuje pojęcie infrastruktury krytycznej. Są to systemy oraz wchodzące w ich skład powiązane ze sobą funkcjonalnie obiekty, w tym obiekty budowlane, urządzenia, instalacje, usługi kluczowe dla bezpieczeństwa państwa i jego obywateli oraz służące zapewnieniu sprawnego funkcjonowania organów administracji publicznej, a także instytucji i przedsiębiorców.
Infrastruktura krytyczna obejmuje systemy zaopatrzenia w energię i paliwa, łączności i sieci teleinformatycznych, finansowe, zaopatrzenia w żywność i wodę, ochrony zdrowia, transportowe i komunikacyjne, ratownicze, zapewniające ciągłość działania administracji publicznej, produkcji, składowania, przechowywania i stosowania substancji chemicznych i promieniotwórczych, w tym rurociągi substancji niebezpiecznych.
Obowiązkowe plany ochrony
Artykuł 6 tej ustawy nakłada na wybrane przedsiębiorstwa obowiązek opracowania planów ochrony infrastruktury krytycznej. Strukturę tego dokumentu opisuje rozporządzenie Rady Ministrów z 30 kwietnia 2010 r. w sprawie planów ochrony infrastruktury krytycznej.
Taki plan powinien zawierać m.in. charakterystykę zagrożeń dla infrastruktury krytycznej oraz ocenę ryzyka ich wystąpienia wraz z przewidywanymi scenariuszami rozwoju zdarzeń, a także zasadnicze warianty działania w sytuacji zagrożenia lub zakłócenia funkcjonowania infrastruktury krytycznej, informacje dotyczące zapewnienia ciągłości funkcjonowania infrastruktury krytycznej i odtwarzania infrastruktury krytycznej.
Wdrożenie wymagań określonych w rozporządzeniu jest zadaniem czasochłonnym. Powstaje więc pytanie – co mogą zrobić menedżerowie, aby przygotować swoją firmę przed rozpoczęciem tak wielkiej imprezy sportowej?
Na pewno powinni wybrać ze świadczonych przez firmę usług te, które muszą być odtwarzane w pierwszej kolejności. Istotne jest również zidentyfikowanie wymagań prawnych i innych zobowiązań firmy wynikających z zawartych umów. Wszystko po to, aby zapewnić ich realizację także w sytuacji kryzysowej.
Warto też wykonać choćby prostą analizę ryzyka. Chodzi o identyfikację bazującą na najprostszym podejściu, czyli udzieleniu odpowiedzi na pytania:
• Co się może zdarzyć,
• Gdzie, kiedy i dlaczego,
• Jak jesteśmy zabezpieczeni,
• Co możemy jeszcze poprawić.
Przy okazji należy zidentyfikować najbardziej krytyczne zasoby niezbędne do przetrwania firmy i zbadać, jak są zabezpieczone. W przypadku pracowników trzeba zweryfikować, czy kompetencje i zakres ich odpowiedzialności są podzielone w taki sposób, aby niedostępność jednej osoby nie przerwała żadnego z kluczowych procesów biznesowych.
Zapasowa lokalizacja
W ramach opracowania strategii działania konieczne jest zweryfikowanie możliwości zapewnienia i wyposażenia zapasowej lokalizacji dla naszej firmy na czas trwania imprezy. Rozwiązanie takie jest realne dla firm dysponujących większą liczbą lokalizacji biznesowych.
Alternatywą może być umożliwienie pracownikom zdalnego dostępu do narzędzi i systemów IT, czyli dopuszczenie pracy w domu. Kolejne działanie to weryfikacja sposobu przygotowania się na zdarzenie przez kluczowych usługodawców. W tym przypadku działaniem minimum jest ustalenie sposobu zabezpieczenia realizacji usług świadczonych na rzecz naszej firmy.
Pomocne mogą być wszelkie dowody testowania tych rozwiązań. czyli uzyskanie potwierdzenia tego, że zostały one wdrożone w praktyce. Na pewno wszystkie planowane działania powinny zostać udokumentowane, choćby w formie ogólnych założeń do pracy w sytuacji kryzysowej, które opisywałyby zakres zadań poszczególnych osób. W ich ramach powinna zostać przygotowana przynajmniej procedura zarządzania incydentami oraz listy kontaktowe.
Byłoby najlepiej, gdyby firmy zweryfikowały wdrożone rozwiązania np. przez wykonanie serii prostych testów. Chodzi choćby o testy powiadamiania (weryfikacja list kontaktowych), warsztaty typu „walk through” polegające na wspólnym przeglądzie procedur czy założeń do pracy w sytuacji kryzysowej.
Marcin Marczewski partner, wiceprezes zarządu Resilia sp. z o.o.
Komentuje Marcin Marczewski, partner, wiceprezes zarządu Resilia sp. z o.o.
W praktyce jest tak, że przedstawiciele firm z sektora małych i średnich przedsiębiorstw nie dostrzegają wartości, jaką niesie wdrożenie rozwiązań w zakresie zarządzania ciągłością działania. Dzieje się tak, ponieważ panuje przekonanie, że niezmiernie trudno jest wyliczyć wartość zwrotu z inwestycji w szeroko rozumiane bezpieczeństwo przedsiębiorstwa.
Dodatkowo, wdrożenie zarządzania ciągłością działania firmy kojarzy się najczęściej z olbrzymimi kosztami oraz zmarnowanym czasem kadry zarządzającej. To oczywiście są rytualnie powtarzane mity, bo można wdrożyć rozwiązania w zakresie ciągłości działania przy minimalnych nakładach sił i nie tylko w ramach zabezpieczenia się przed zagrożeniami wynikającym z dużej imprezy sportowej. Najważniejsze jest zaangażowanie w te działania i uzyskanie pełnego wsparcia kadry zarządzającej.
Oczywiście zawsze się przyda większe wsparcie różnych instytucji państwa odpowiedzialnych za bezpieczeństwo publiczne lub ubezpieczycieli, którzy powinni promować podobne zabezpieczenia. Generalnie chodzi o to, aby przedsiębiorcy wiedzieli, że mają szansę na uzyskanie realnych korzyści z wdrożenia rozwiązań w zakresie zarządzania ryzykiem i ciągłością działania. Prawda jest taka – zwiększanie odporności firm na różne rodzaje ryzyka powinno być wspólnym celem wszystkich zainteresowanych stron.
