Wdrożenie ISO – ważny element Planu Ciągłości Działania

Wdrożenie ISO – to jeden z elementów PCD. Każda dostatecznie dojrzała organizacja jest w pełni świadoma konieczności planowania zachowania ciągłości działania. Nie wszyscy wiedzą jednak jak się do tego przygotować i jak zbudować dobry plan PCD.  W poniższym artykule odpowiadamy na pytanie czego potrzebujemy do stworzenia najlepszego możliwego planu, czy istnieją normy, standardy i dobre praktyki, na których warto się opierać oraz co one oznaczają w praktyce.

PCD, czyli Plan Ciągłości Działania (PCD) lub czasem z angielskiego plan BCP (Business Continuity Planning) to jeden z elementów zarządzania ciągłością działania biznesu. Skupia się on na ochronie pracowników i zasobów organizacji oraz możliwości jak najszybszego przywrócenia funkcjonowania kluczowych procesów biznesowych w przypadku wystąpienia poważnego zakłócenia. Przykładów nie trzeba szukać daleko. Najlepszym, bo najlepiej zapisanym w pamięci jest lockdown na skutek wybuchu pandemii COVID-19, podczas którego pracownicy mieli pozostać w domach i pracować zdalnie. Jak wiemy, dla niektórych organizacji sprawne funkcjonowanie w tej sytuacji, przynajmniej na początku, stanowiło niemałe wyzwanie.

Wróćmy jednak do sedna, czyli PCD. Jak przygotować dobry plan ciągłości działania? Jego podstawą są dobre praktyki z zakresu zarządzania sytuacjami kryzysowymi i awaryjnymi oraz – a może przede wszystkim – normy. Występują dwa zasadnicze podejścia do budowania PCD: pierwsze bazuje na dobrych praktykach ujętych ogólnie lub branżowo. Odwołanie do dobrych praktyk to częste podejście w krajach anglosaskich. Na stronach agend rządowych: amerykańskich np. f.gov czy redy.gov, brytyjskich – gov.uk czy australijskich – bussines.gov.au można znaleźć ogólne i branżowe propozycje, plany i najlepsze praktyki, jak przygotować PCD. Drugie podejście bazuje na wykorzystaniu opracowanych, sformalizowanych i uznawanych międzynarodowo standardów.

Wdrożenie ISO 22301 – złoty standard

Obecnie podstawowym, uznawany na całym świecie standardem zapewnia ciągłości zarządzania jest norma ISO 22301. Nieco już historyczne znaczenie ma opracowany i wykorzystywany głównie w Wielkiej Brytanii standard BS25999, który stanowił kodyfikację wielu różnych dobrych praktyk, które zostały przełożone na normę. Dzisiaj BS25999 został de facto zastąpiony przez ISO 22301.
Norma 22301 nie odbiega swym charakterem od innych norm ISO. Wdrożenie ISO wymaga spełnienie niezbędnych założeń do osiągnięcia celu – w tym wypadku implementacji, utrzymania i rozwoju systemu ochrony przed niespodziewanymi, poważnymi wydarzeniami o charakterze katastrofalnym. Dzięki swojej ogólności znajdują one zastosowanie we wszystkich organizacjach, niezależnie od wielkości czy złożoności procesów albo sektora, w którym działają.
Niemniej warto podkreślić, że ISO 22301 jest mocno osadzona w biznesowej specyfice funkcjonowania firmy czy każdej innej organizacji. Co to oznacza? Przede wszystkim, że ciągłość działania, bezpieczeństwo i odporność na nieprzewidziane sytuacje nie mogą ograniczać się wyłącznie do ogólnego planu zapisanego w konkretnym dokumencie.

Wdrożenie ISO – najlepsza praktyka dla Planu Ciągłości Działania

Z tego wynika, że nie należy podchodzić do normy ISO 22301 jako uniwersalnego wzoru na wyprodukowanie planu działania, który można zastosować w każdej sytuacji. Należy przyjąć, że PCD to element całego systemu zarządzania ciągłością działania, który z kolej jest integralnym elementem ogólnego systemu zarządzania daną organizacją.

W konsekwencji zarządzanie ciągłością działania trzeba rozpocząć od dobrego rozpoznania konkretnej organizacji, kontekstu, w jakim ona funkcjonuje, a także całej specyfiki otoczenia biznesowego i społecznego, zewnętrznego i wewnętrznego.

Co więcej, zarządzanie ciągłością działania musi opierać się na twardych fundamentach. Dlatego trzeba mieć pewność, że procesy PCD stanowią część najważniejszych procesów biznesowych.
Wreszcie, zarządzanie ciągłością działania zakłada, że znając kluczowe procesy firmy, skupiamy się na analizowaniu ryzyka i szans związanych z działalnością.

Dopiero kiedy uda się zaadresować te kwestie, możemy wykonać następny krok, czyli przystąpić do opracowywania samego planu. Właściwie dopiero w tym momencie należy zacząć myśleć i mówić o dokumencie, w którym zostaną zapisane wszystkie ryzyka a także to, w jaki sposób przekładają się one na prowadzenie biznesu. Dzięki szczegółowej ich ocenie będzie można także sformułować precyzyjnie sposoby przeciwdziałania ich skutkom i przygotować oraz zapisać szczegółowo procedury działania w przypadku wystąpienia „awarii”.

Plan Ciągłości Działania (PCD) w szerszym kontekście

Warto dodać, że tak jak PCD jest elementem szerszych systemów zarządzania, tak norma ISO 22301 nie funkcjonuje w oderwaniu od innych norm. Wdrożenie ISO po raz pierwszy przeciera szlak do kolejnych usprawnień i wdrożeń nowych norm. Uświadomienie sobie tego faktu bywa bardzo pomocne przy tworzeniu samego planu ciągłości działania. Dobrym przykładem będzie norma ISO 28000:2007, która skupia się na zabezpieczaniu i planowaniu ciągłości funkcjonowania łańcuchów dostaw i stanowi dokument, który potwierdza dobre przygotowanie w tym zakresie dla partnerów biznesowych. Inny przykład to norma ISO 31000, która prezentuje zasady a zarazem dostarcza gotowe ramy i proces zarządzania ryzykiem ułatwia m.in. identyfikowanie szans i zagrożeń a także alokowanie i używanie zasobów w celu minimalizowania ryzyka. Normy te stanowią doskonałe źródło praktycznych rozwiązań, które można wykorzystać w danej organizacji w ramach prac nad systemem zarządzania ciągłością działania i planem PCD.

Na koniec warto jeszcze raz podkreślić, że choć nazwa Plan Ciągłości Działania sugeruje, że mówimy o planie, dokumencie, to jednak nie można do tego ograniczać rozumienia całego zagadnienia. Mamy bowiem do czynienia ze złożonym procesem, wymagającym dobrego poznania konkretnego biznesu wraz ze wszystkim jego uwarunkowaniami. Tylko w ten sposób można przygotować organizację na wszystko, co można a nawet na to, czego nie można przewidzieć. Ponieważ tylko tak możemy mieć pewność, że nawet najgorszy scenariusz nie będzie oznaczał najgorszych konsekwencji. Norma ISO 22301 jest do tego doskonałym punktem wyjścia.

Wdrożenie ISO można dokonać ze wsparciem zewnętrznego partnera

Jeśli chcielibyście się Państwo dowiedzieć więcej na temat zapewniania ciągłości działania biznesu zapraszamy do innych tekstów publikowanych na naszym blogu poświęconych zagadnieniom związanym z PCD:

Zapraszamy jednocześnie do kontaktu z naszymi ekspertami, którzy posiadają szerokie uprawnienia audytorskie w zakresie wielu norm ISO i chętnie odpowiedzą na wszystkie Państwa wątpliwości a także podpowiedzą jak skutecznie przygotować się do projektu PCD.