Proces wdrażania BCMS

Wdrażanie Systemu Zarządzania Ciągłościa Działania BS 25999

 

  1. Określenie zakresu i celów Systemu Zarządzania Ciągłością Działania BCMS.
    Określenie Polityki BCMS oraz jej zakomunikowanie pracownikom i pracującym na rzecz organizacji.

     

    Pierwszymi czynnościami jakie powinny być zrealizowane przez organizację, która podjęła decyzję o wdrożeniu Systemu Zarządzania Ciągłością Działania, jest określenie zakresu i celów BCM.
    Należy przy tym uwzględnić:

    • wymagania i oczekiwania interesariuszy oraz strategie organizacji w odniesieniu do ciągłości działania, w tym również celów i zobowiązań organizacji, obowiązków prawnych, statutowych, umownych i innych, do których spełnienia organizacji jest zobowiązana;

    • akceptowalny poziom ryzyka adekwatny do „apetytu” danej organizacji i zarządzających nią managerów na ryzyko (często im większe ryzyko tym większe profity).

W trakcie ustalania zakresu należy określić kluczowe wyroby i usługi, z którymi związana jest ciągłość działania organizacji (inaczej mówiąc – w przypadku których istotne jest ich dostarczanie Klientom bez zakłóceń).

W odniesieniu do zdefiniowanego zakresu (w tym określonych linii biznesowych) oraz do ustanowionych celów ciągłości biznesowej, kierownictwo najwyższego szczebla organizacyjnego, powinno ustanowić Politykę zarządzania ciągłością działania.

  1. Zapewnienie niezbędnych zasobów do ustanowienia, wdrożenia, funkcjonowania i doskonalenia BCMS. Zapewnienie odpowiednich kompetencji personelu;

    Osadzenie BCMS w kulturze organizacji. Podnoszenie wśród pracowników świadomości istoty i wagi BCM.

    Kierownictwo Organizacji powinno określić wszelkie niezbędne zasoby koniecznie do zapewnienia skuteczności jego realizacji. Planując je, należy uwzględnić wszystkie cykle życia systemu – od jego ustanowienia, poprzez wdrożenie i funkcjonowanie, aż do jego utrzymania na odpowiednim poziomie. Potrzeby te powinny uwzględniać możliwe do przewidzenia na tym etapie zasoby w zakresie infrastruktury oraz kompetencji personelu.

    Należy wyznaczyć z grona kierownictwa osobę o właściwych uprawnieniach, która będzie odpowiedzialna za BCMS – jego wdrożenie, utrzymywanie i doskonalenie. Osoba ta powinna mieć odpowiednią wiedzę i inne kwalifikacje do objęcia tej funkcji. Należy też przeanalizować potrzeby w zakresie innych osób, które będą niezbędne do skutecznego wdrożenia, utrzymania i doskonalenia Systemu Zarządzania Ciągłością Działania.

     
    Potrzeba jednoznacznego zdefiniowania i udokumentowania odpowiedzialności, kompetencji i uprawnień osób związanych z BCM.

    Personel BCM powinien mieć odpowiednie kompetencje, aby mógł realizować swoje role przydzielone w Systemie Zarządzania Ciągłością Działania. Kompetencje te powinny zostać określone, a w celu ich uzyskania powinno się przeprowadzić analizę potrzeb szkoleniowych. Działania mające na celu uzyskanie odpowiednich kompetencji (np. szkolenia) powinny być z kolei weryfikowane pod kątem ich skuteczności.

     
    Należy również zadbać o to, by System Zarządzania Ciągłością Działania stał się integralną częścią bieżącej działalności organizacji i realizowanych procesów. Z tego względu należy zwrócić uwagę na odpowiednią świadomość całego personelu oraz osób pracujących dla lub w imieniu organizacji (kluczowi dostawcy outsourcingowi).

  1. Zrozumienie organizacji:

    • Identyfikacja procesów, w tym procesów kluczowych, oraz ich możliwych zakłóceń i skutków (analiza wpływu na działalność – BIA);

    • Określenie metody oceny ryzyka oraz przeprowadzenie oceny ryzyka zgodnie z tymi ustaleniami. Opracowanie mapy ryzyka;

    • Definiowanie działań zmniejszających ryzyka.

     

    Przeprowadzenie Analizy Wpływu na Biznes (BIA), w ramach której identyfikowane są procesy, w wyniku których dostarczane są kluczowe wyroby i usługi (kluczowe linie biznesowe).

    Dla zidentyfikowanych kluczowych linii biznesowych określane są następnie potencjalne skutki, jakie mogą wyniknąć dla organizacji i jej interesariuszy w wyniku wystąpienia zakłócenia danego procesu realizacji (z uwzględnieniem zależności skutków od czasu trwania danego zakłócenia i określeniem niniejszej zależności).

    Określenie podstawowych parametrów BCMS:

    • MTPoD czyli maksymalny czas od rozpoczęcia zakłócenia, w którym dana linia biznesowa powinna zostać wznowiona;

    • minimalny poziom, na którym dana linia biznesowa powinna być prowadzona po jej wznowieniu;

    • RTO czyli Docelowy Czas Wznowienia Działalności, który musi mieścić się w ramach Maksymalnego Tolerowanego Czasu Trwania Zakłócenia (MTPoD);

    • czas, w którym powinna zostać wznowiona działalność na normalnym poziomie.

Określenie dla zidentyfikowanych działalności krytycznych wszelkich zależności wewnętrznych (osobowe i podmiotowe) oraz zewnętrznych, czyli związanych z dostawcami i partnerami outsourcingowymi.

Szacowanie ryzyka jest kolejnym działaniem, które powinno być realizowane zgodnie ze zdefiniowanymi wcześniej regulacjami. Pomimo, że norma BS 25999 zaleca zastosowanie szacowania ryzyka wyłącznie w stosunku do działalności krytycznej, z czysto praktycznych i ekonomicznych względów należy wziąć pod uwagę także pozostałe działalności i ich potencjalne zakłócenia oraz czynniki ryzyka je wywołujące. Nie będą one tak dotkliwe dla Organizacji, jak zakłócenie działalności krytycznej, jednak mogą powodować wystąpienie nieprzewidzianych wcześniej kosztów, co jest istotne dla każdej organizacji. Odpowiednio przeprowadzone szacowanie ryzyka (związane również z dostawcami i partnerami outsourcingowymi) polegające na identyfikacji poszczególnych zagrożeń, ich analizie i ocenie ryzyka, pozwala firmie zrozumieć słabe punkty jej poszczególnych linii biznesowych.

 

Dla zidentyfikowanych zagrożeń poszczególnych działalności należy określić możliwość, celowość oraz środki do wprowadzenia stosownych działań, które pozwolą na redukcję strat i/ lub na uniknięcie/obejście ryzyka poprzez:

  • zmniejszenie prawdopodobieństwa zmaterializowania się zagrożenia;
  • zmniejszenie skutków zakłócenia, w tym poprzez skrócenie czasu jego trwania.

Ze względu na fakt, iż żadna organizacja nie jest w stanie uniknąć wszystkich ryzyk oraz że nie każde ryzyko można zredukować do akceptowalnego poziomu, dla poszczególnych zagrożeń należy określić odpowiednią strategię postępowania z nim w celu zapewnienia ciągłości biznesowej.

  1. Określenie strategii postępowania z ryzykiem dla poszczególnych zagrożeń, w tym: akceptacji, przeniesienia, zmiany w procesach, zawieszenia lub zakończenia działań, strategii ciągłości działania. Określenie kluczowych wskaźników ryzyka (KRI).

    Dla każdego ryzyka, którego nie udało się uniknąć oraz w przypadku którego nie udało się zdefiniować działań mających na celu jego redukcję do poziomu akceptowalnego, należy określić strategię postępowania.

    Możliwe strategie postępowania z ryzykiem to:

  2. AKCEPTACJA – świadome podejmowanie ryzyka;
  3. PRZENOSZENIE – przeniesienie ryzyka na inny podmiot w ramach między innymi ubezpieczenia, hadging-u i innych uzgodnień kontraktowych pomiędzy partnerami handlowymi lub organizacją i stroną trzecią (transfer ryzyka);
  4. ZMIANA, ZAWIESZENIE, ZAKOŃCZENIE – opcja stosowana tylko w przypadku, kiedy zmiana, zawieszenie czy zakończenie realizacji wyrobów, usług lub danego procesu nie stoi w sprzeczności z celami strategicznymi i statutowymi organizacji oraz oczekiwaniami jej interesariuszy;
  5. CIĄGŁOŚĆ DZIAŁANIA – strategia zapewniająca wznowienie działalności i ciągłości działania w przypadku wystąpienia zakłócenia tej działalności w określonym Docelowym Czasie wznowienia (RTO) poprzez określenie odpowiednich Planów Ciągłości Biznesowej (BCP). Plany Ciągłości Działania definiowane są dla wcześniej określonych działalności krytycznych.
  6.  

    Powyższe strategie, w zależności od sytuacji, mogą być stosowane przez organizacje pojedynczo lub w różnych konfiguracjach.

     

    Istotnym jest określenie na niniejszym etapie tzw. kluczowych wskaźników ryzyka (KRI). Monitorując ich wartość w określonych, cyklicznych odstępach czasu, odpowiedzialni za poszczególne linie biznesowe/ działalności będą posiadali bieżące informacje o aktualnym poziomie zagrożenia.

    1. Określenie strategii BCM oraz opracowanie i wdrożenie reakcji BCM:

      • Określenie struktury reakcji na zdarzenie;
      • Opracowanie Planów zarządzania zdarzeniem (IMP) oraz Planów ciągłości biznesowej (BCP);
      • Określenie sposobów weryfikacji i walidacji IMP i BCP.

       

      Organizacja powinna dla zidentyfikowanych działalności krytycznych określić odpowiednie strategie ciągłości działania, uwzględniające czynniki takie, jak między innymi: MTPoD (maksymalny tolerowany czas zakłócenia), koszty wdrożenia danej strategii (lub kilku strategii) oraz konsekwencje niepodejmowania działań.

       
      Ustalenia w ramach strategii ciągłości działania mogą dotyczyć zarówno zasobów, jaki i otoczenia organizacji. Należy przy tym zwrócić uwagę, aby przyjęte rozwiązania nie były podatne na to samo zagrożenie, które spowodowało zakłócenie działalności krytycznej.

     

Określając strategie ciągłości działania należy wziąć pod uwagę niżej przedstawione aspekty:

Ludzie oraz posiadane przez nich umiejętności i wiedza
Dla poszczególnych osób (personel, osoby pracujące dla lub w imieniu organizacji, interesariusze) o zidentyfikowanych jako kluczowe (nierzadko specjalistycznych) umiejętnościach i wiedzy, należy określić strategie umożliwiające ich zachowanie i zarządzanie nimi.

Nieruchomości

Organizacja powinna opracować strategie dla zredukowania niekorzystnego wpływu niedostępności jej budynków, pomieszczeń lub konkretnych stanowisk pracy, w których realizowane są działalności krytyczne.

Technologia

Strategie ciągłości działania w niniejszym aspekcie związane są ze stosowaną przez organizację technologią realizacji wyrobów, usług oraz stosowanymi technologiami informatycznymi. Strategie powinny zapewnić ochronę i/ lub zastąpienie i/ lub odzyskanie technologii w celu umożliwienia kontynuacji działalności krytycznej po wystąpieniu zdarzenia.

Informacja

Strategie informacyjne związane z zapewnieniem ciągłości działania skoncentrowane są na bezpieczeństwie i możliwości odzyskania informacji niezbędnych do realizacji działalności krytycznej.

 
Zasoby
Strategie związane z zasobami polegają na identyfikacji zasobów specyficznych dla danej działalności krytycznej, niezbędnych do zapewnienia jej ciągłości.

Interesariusze

Podczas określania strategii BCM Organizacja powinna mieć na uwadze i chronić interesy jej kluczowych interesariuszy.
 
Należy zwrócić uwagę, aby określone i przyjęte przez organizację strategie ciągłości działania były spójne z planami reagowania odpowiednich służb (zewnętrzne plany awaryjne).
 
Na podstawie przyjętych Strategii Ciągłości Działania dla działalności krytycznych organizacja powinna opracować strukturę reakcji na zdarzenie oraz Plany Zarządzania Zdarzeniem (IMP)Plany Ciągłości Działania (BCP).
 
Planowanie weryfikacji i walidacji ustaleń BCM

Określając Plany Zarządzania Zdarzeniem oraz Plany Ciągłości Działania należy ustalić możliwe sposoby, za pomocą których organizacja będzie mogła przeprowadzać walidacje przyjętych ustaleń związanych z BCM. W związku z tym należy określić rodzaje i metody ćwiczeń strategii BCM i jej skuteczności. W zależności od możliwości organizacja powinna określić rodzaj realizowanych ćwiczeń oraz ich częstotliwość dla ustanowionych planów BCP i IMP.

  1. Wdrożenie ustaleń. Szkolenie pracowników Organizacji (w zakresie ich odpowiedzialności).
    Stałe utrzymywanie odpowiedniej świadomości pracowników.

    Organizacja powinna zapewnić, aby ustalenia związane z:

    • zapewnieniem ciągłości działania oraz zarządzaniem zdarzeniem oraz
    • zarządzaniem ryzykiem działalności niezidentyfikowanych jako krytyczne oraz w przypadku, kiedy przyjętą strategia postępowania z ryzykiem nie była ciągłość działania

były dostępne i zrozumiałe dla osób odpowiedzialnych za poszczególne czynności lub związanych z danymi działaniami (przy uwzględnieniu nie tylko pracowników organizacji, ale również osób pracujących dla i w imieniu organizacji oraz kluczowych partnerów outsourcingowych).

Należy zapewnić odpowiednią świadomość wszystkich pracowników i przedstawicieli zainteresowanych stron odnośnie idei i celowości przyjętych ustaleń Zarządzania Ciągłością Działania.

  1. Monitorowanie i weryfikacja skuteczności i przydatności systemu BCMS.

    Utrzymywanie zapisów z funkcjonowania BCMS oraz mających miejsce incydentów i zdarzeń.

    Identyfikacja obszarów do doskonalenia oraz niezbędnych zmian, jakie należy wprowadzić do systemu BCMS w celu utrzymania jego skuteczności.
     

    Stałe monitorowanie poziomu ryzyka (KRI)

    Zdefiniowane na etapie planowania Kluczowe Wskaźniki Ryzyka KRI, ustalone nie tylko dla działalności krytycznej, ale również pozostałych działalności powinny być stale monitorowanie zgodnie z przyjętymi założeniami. Przekroczenie przyjętego akceptowalnego poziomu wartości danego miernika powinno zaowocować uruchomieniem odpowiednich działań korekcyjnych i/ lub korygujących. Zbierane dane odnośnie wartości KRI z poszczególnych okresów powinny być okresowo poddawane analizie przez osoby odpowiedzialne za zarządzanie ryzykiem w celu identyfikacji możliwych trendów.

    Ćwiczenia BCM

    Ćwiczenia BCM powinny być realizowane zgodnie z przyjętym przez organizację programem ćwiczeń. Po przeprowadzonym ćwiczeniu jego wyniki powinny zostać poddane analizie i ocenie pod kątem osiągnięcia założonego celu.

     

    Cykliczne przeglądy aktualności i adekwatności BCMS
    Należy okresowo (w zaplanowanych odstępach czasu) dokonywać przeglądów ustaleń związanych z BCM w celu zapewnienia ich ciągłej przydatności, adekwatności oraz skuteczności.
     
    Poza przeglądami, które powinny być realizowane w zaplanowanych odstępach czasu, każdorazowo po dokonaniu istotnych zmian w systemie należy przeprowadzić przegląd nieplanowany.
    Szczegółowy przegląd należy również każdorazowo wykonać w przypadku zmaterializowania się zagrożenia (wystąpienie zakłócenia).

    Audyty wewnętrzne

    Audity wewnętrzne są narzędziem, które służy do ustalenia, czy System Zarządzania Ciągłością Działania:

    • jest zgodny z zaplanowanymi ustaleniami (w tym z wymaganiami normy BS 25999-2);

    • został poprawnie wdrożony i jest właściwie utrzymywany;

    • jest skuteczny w odniesieniu do realizacji postanowień Polityki i celów BCM.

Analogicznie jak w przypadku innych systemów zarządzania, audyty wewnętrzne powinny być realizowane zgodnie z zaplanowanymi ustaleniami (program auditów, udokumentowana metodologia auditu itp.) przez niezależny i obiektywny personel.

 

Przeglądy skuteczności BCMS dokonywane przez kierownictwo

Podobnie jak w przypadku audytów. przegląd skuteczności systemu dokonywany przez kierownictwo jest procesem charakterystycznym dla wszystkich systemów zarządzania.

W zaplanowanych odstępach czasu kierownictwo z najwyższego szczebla organizacyjnego powinno przeprowadzić przegląd systemu na podstawie przekazanych mu informacji z poszczególnych obszarów.

  1. Realizacja działań korygujących i zapobiegawczych.

    W przypadku potrzeby wprowadzenia zmian na poziomie strategicznym (polityka, zakres, cele BCMS) lub zmian na poziomie operacyjnym (BIA, ocena ryzyka, BCP, IMP) należy powrócić do odpowiedniego bloku, przechodząc całą ścieżkę od danego momentu do niniejszego miejsca.

Na podstawie wyników przeprowadzonych na etapie weryfikacji należy wdrożyć stosowane działania korygujące i zapobiegawcze. Również dla określonych celów BCMS należy określić zadania lub nawet programy ich realizacji.

Działania korygujące i zapobiegawcze są jednym z narzędzi ciągłego doskonalenia Systemu Zarządzania Ciągłością Działania. Ich idea jest cechą charakterystyczną dla wszystkich systemów zarządzania zgodnych z wymaganiami międzynarodowych norm ISO.

 

Działania zmierzające do wprowadzenia standardu BS 25999 w organizacji koncentrują się przede wszystkim na: identyfikacji potencjalnych dla niej zagrożeń, określeniu ryzyka z nimi związanego, planowaniu działań zapobiegawczych, opracowaniu sposobów postępowania w wypadku wystąpienia zdarzeń oraz ich testowaniu. W ramach zarządzania ciągłości biznesem, obok pewnych ustalonych procedur mających zapewnić powtarzalny sposób reagowania na nieprzewidziane sytuacje, istnieje także szereg niedocenianych, jak pokazuje praktyka, narzędzi, które mogą równie skutecznie ochronić organizację przed poważnym kryzysem. Jednym z nich jest Public Relations firmy, które w tym wypadku jako kreowanie pozytywnego wizerunku, będzie oznaczało odpowiednią komunikację z otoczeniem firmy w obliczu kryzysu.

 

Organizacje, skupiając się w razie zakłóceń na ustalonych procedurach, często zapominają, że to brak umiejętnej komunikacji, unikanie pytań otoczenia czy opóźnienia w przekazywaniu „na zewnątrz” informacji mogą w znacznym stopniu przyczynić się do upadku firmy w wyniku utraty zaufania klientów.
Luka w przepływie informacji bowiem, np. powstrzymywanie się od komentarza dla mediów (tylko z pozoru będące wygodnym sposobem na wyciszenie problemu), zostaje szybko zastąpiona alternatywnym źródłem informacji, z reguły niekorzystnym dla firmy. Może to nieść ze sobą nieprzewidywalne wręcz skutki.

 
BCM to wielkie przedsięwzięcie, ujmujące ryzyko w aktywny sposób. Dlatego tak ważne jest kompleksowe ujęcie zagadnienia zarządzania ciągłością działania.
 
 

Graficznie przedstawiony proces wdrażania Systemu Zarządzania Ciągłością Działania zgodnego
z BS 25999

 
Proces wdrażania BCMS
 
 

Zapraszamy do kontaktu z nami w sprawie określenia możliwości
wdrożenia Systemu Zarządzania Ciągłością Działania BS 25999
lub realizacji szkoleń tematycznych

 
 

Zachęcamy Państwa do bezpośredniego kontaktu z naszym biurem. Nasi pracownicy chętnie odpowiedzą na pytania, wyjaśnią szczegóły dotyczące naszych usług i pomogą dopasować najlepszą ofertę do Państwa potrzeb.

 
 
Centrum Doradczo Szkoleniowe MALON Sp. z o. o.
Wrocław, ul. Józefa Piłsudskiego 74, budynek NOT
biuro@malongroup.pl
tel. (71) 789 08 41 lub 604 20 90 43
faks (71) 791 39 09


 

Back to Top