Úvod Novinky

Krizové řízení i Management kontinuity podnikání si zaslouží systematickou péči ve všech typech organizací

8.11.2011

Zavádění managementu rizik je v posledních letech podporováno i vznikem celé řady normativních dokumentů po celém světě, což svědčí o zájmu podnikatelské veřejnosti o tuto oblast.

Nedílnou součástí managementu rizik je i připravenost čelit mimořádným událostem, jako je požár, povodně teroristický nebo prostě jen zlodějský útok, které mohou chod organizace zničit nebo silně narušit. Tady se jedná o připravenost okamžitě reagovat na mimořádnou událost a minimalizovat ztráty.

Časový průběh reakce na havárii (incident) znázorněný na obrázku ukazuje i potřeby různých přístupů k managementu rizik v jednotlivých fázích po havárii.

 
V první fázi je třeba se soustředit na Management havárií a krizový management, což je ta část managementu rizik, v rámci které se zajišťují krátkodobé reakce organizace v případě havárie nebo nepředvídaného incidentu, způsobeného z vnějšího nebo i vnitřního prostředí. Úkoly managementu rizik v tomto období spočívají v:
  • Spuštění krizové signalizace a mobilizování krizového manažera
  • Zahájení postupů krizového řízení, tzn. vyklízení, evakuace, prevence nebo řízení ztrát, pokud jsou dostupné příslušné zdroje
  • Sběr informací a vyhodnocení situace
  • Kontaktování kompetentních autorit a vyhledání pomoci
  • Zajištění interní a externí krizové komunikace koordinované krizovým týmem

Ve druhé fázi se přechází na navázání kontinuity činností alespoň prozatímním způsobem a jeho úkolem je mimo jiné:

  • Mobilizování krizového týmu managementu
  • Sběr a vyhodnocení informací pro vyhodnocení situace
  • Zahájení realizace opatření v rámci celé organizace pro zabránění bezprostředně hrozícího zničení nebo alespoň minimalizaci jeho dopadů.
  • Zajištění krizové komunikace (interní i externí) pro celou organizaci
  • Zajištění informovanosti zaměstnanců, zákazníků a celé veřejnosti
  • Inicializace opatření pro udržení a pokračování chodu firmy
  • Zajištění strategických rozhodnutí vrcholového vedení
  • Příprava plánů pro obnovení normálního chodu organizace

Třetí fáze se už týká Managementu zachování kontinuity podnikání, což je ta část krizového managementu, která slouží k udržení nebo velmi rychlému obnovení základních funkcí organizace. Zde je třeba vycházet z hluboké znalosti fungování organizace a nelze ji narychlo nastolit bez předcházející dlouhodobé přípravy ještě v období klidu.

Řízení kontinuity podnikání (business continuity management nebo BCM) je řídící proces podporovaný vedením společnosti, v rámci kterého se identifikují potenciální dopady ztrát a jehož cílem je vytvořit takové postupy a prostředí, které umožní zajistit kontinuitu a obnovu klíčových procesů a činností organizace na předem stanovené minimální úrovni, pokud došlo k jejich narušení nebo ztrátě. BCM ochraňuje zájmy klíčových podílníků, akcionářů a dalších zájmových skupin, dobrou pověst a značku společnosti.

Kromě drastických havárií, které byly výše uvedeny, má být předmětem BCM mediálně nenápadnější, ale stejně nebezpečná ztráta dostupnosti a integrity dat, ať už z důvodů zničení nebo jiného selhání techniky, nebo jejich zcizení. Řízení kontinuity činností organizace není pouze o nápravě následků způsobených těmito incidenty či haváriemi. Je to také o prevenci jak předejít krizovým a havarijním situacím a o ustanovení takové kultury v rámci organizace, která se snaží vybudovat větší odolnost za účelem zajištění kontinuity dodávky produktů a služeb klientům a zákazníkům.

V roce 2006 byla ve Velké Británii vydána britským normalizačním institutem (British Standards Institute, BSI) ve spolupráci s Business Continuity Institute (BCI) vůbec první norma pro oblast BCM BS 25999 s cílem stanovit jednotný standard správné praxe a uspokojit přitom potřeby zákazníků, klientů, vlády, regulátorů a všech ostatních zainteresovaných stran. Jedná se komplementární normu skládající se ze dvou částí, z nichž v jedné části jsou uvedeny principy implementace a druhá část je striktně kriteriální, a tudíž vhodná i jako podklad pro audity důvěryhodnosti zajištění BCM, případně certifikaci.

Velmi praktickou pomůckou pro Krizové řízení je i rakouská norma ONR 49002, která jednoduše definuje jednotlivé fáze krizového řízení a způsoby jejího zabezpečení.

Mezinárodní normy ISO pro tuto oblast jsou v současné době již v pokročilém stádiu návrhu před vydáním. Výjimkou je norma ISO/IEC 27031 Security techniques - Guidelines for information and communication technology readiness for business continuity, která je návodem pro zabezpečení BCM z hlediska ICT.

BCM je speciální část rámce managementu rizik, který má svůj životní cyklus, jehož organizační zajištění by mělo být součástí celkového rámce managementu rizik. Podmnožinou celkového rámce pro BCM by měl být i rámce BCM IT.

Životní cyklus BCM se v normách nejčastěji znázorňuje následujícím způsobem:

 

BCM může být implementován ve všech organizacích bez ohledu na jejich velikost nebo oblast podnikání. Základem životního cyklu BCM (viz obrázek) je řízení programu BCM, které je bráno jako kontinuální proces.

Porozumění činnosti organizace

Cílem tohoto kroku je:
  • identifikace kritických činností, procesů a zdrojů, které podporují klíčové produkty nebo služby organizace;
  • provedení tzv. analýzy dopadů (Business Impact Analysis, BIA), pomocí které se hodnotí, jaké dopady v čase by na organizaci a další zainteresované strany mělo narušení dodávek klíčových produktů nebo služeb;
  • provedení hodnocení rizik (Risk Assessment) ve vztahu ke zdrojům využívaných v identifikovaných kritických činnostech. Organizace by si měla zvolit vhodnou metodiku hodnocení rizik vyhovující jejím požadavkům, která umožní organizaci porozumět hrozbám působící na tyto zdroje, zranitelnostem těchto zdrojů a dopadu na organizaci, pokud hrozby využijí tyto zranitelnosti a způsobí incident s následkem narušení / přerušení činností;
  • vybrání vhodných opatření pro zvládání rizik, která jsou navržena ke snížení pravděpodobnosti narušení, zkrácení doby narušení činností a k omezení dopadu narušení na klíčové produkty a služby organizace.

Vytvoření strategií

Při přípravě strategií se doporučuje zvážit uvedené základní scénáře:
  • zamezení přístupu do prostor (např. v případě hrozby bombového útoku);
  • nedostatek pracovníků (např. virové pandemie);
  • ztráta dat;
  • selhání technologií a podpůrných zařízení;
  • selhání klíčového poskytovatele služeb.
Pro realizaci jednotlivých strategií je vždy nezbytné identifikovat typ a množství zdrojů potřebných k jejich dosažení. Určit, jak budou v době narušení zvládány vztahy se všemi zúčastněnými stranami. Zvláštní důraz by měl být kladen na komunikaci s vlastními pracovníky a médii.

Vývoj a implementace BCM

Tato část životního cyklu BCM souvisí s vytvořením a implementací vhodných a přiměřených plánů (postupů), jejichž cílem je umožnit organizaci, aby v případě narušení kritických činností udržela nebo v co nejkratším čase obnovila své procesy na požadovanou provozní úroveň (LBC).

Menší organizace mohou využívat pouze jeden plán kontinuity, zatímco ve větších organizacích může existovat celá řada vzájemně propojených plánů, které pokrývají řízení incidentu, kontinuitu činností a řízení obnovy (viz obrázek Časový přehled reakce na incident).

Při sestavování plánů je důležité, aby byly do tohoto procesu zapojeny všechny dotčené složky organizace. Jednotlivé plány kontinuity by měly identifikovat činnosti a zdroje potřebné pro hladké zvládání nastalých krizových situací. Každý plán by měl jasně specifikovat podmínky své aktivace, a stejně tak identifikovat osoby s odpovědností za vykonávání každého bodu plánu. Každý plán musí mít stanoveného vlastníka a měl by být přístupný všem pracovníkům, od nichž se vyžaduje, aby jej použili.

Testování, udržování a přezkoumání BCM

Vytvořené plány musí organizace testovat a tím se ujistit, že jsou úplné, reálné a funkční. Testování odhaluje nesouvislosti a opomenutí v plánech dříve, než jsou použity v případě nastalé havárie. Testování a nacvičení jejich realizace zároveň slouží k proškolení těch pracovníků, kterým jsou v plánech kontinuity přiřazeny role.

Konečnou odpovědnost za fungování organizace, tedy i za řízení kontinuity činností organizace má vrcholové vedení organizace. Koordinací systému bývá pověřen odborník pro danou oblast, který perfektně ovládá metodiky a nástroje managementu rizik, především provádění analýz a na ně navazujících plánů zvládání rizik. Vlastní realizací však musí být pověřeni všichni vlastníci procesů, jichž se rizika týkají.

Důležitým prvkem řízení kontinuity činností je i vytvoření a upevňování kultury BCM v rámci organizace a ustanovení a posilování povědomí o důležitosti a významu řízení kontinuity činností.




Ing. Jana Olšanská, Ing. Marie Šebestová

 

Autor: Lenka Adamčíková   |   Sekce: Novinky   |   Tisk   |   Poslat článek známému


Související články

Školení

GDPR - Obecné nařízení o ochraně osobních údajů24.8.2017
Místo konání: Praha Prosek

Interní auditor podle normy ČSN EN ISO 9001:2016 a ČSN EN ISO 14001:201617.5.2017 - 12.9.2017
Místo konání: Praha Prosek

všechna školení

Licence

Osvědčení
o akreditaci

Certifikáty

Členové CQS

Elektrotechnický zkušební ústav, s.p. Technický a zkušební ústav stavební Praha, s.p. Institut pro testování a certifikaci, a.s. Textilní zkušební ústav s.p. Fyzikálně technický zkušební ústav, s.p. Strojírenský zkušební ústav, s.p.