PLAN CIĄGŁOŚCI DZIAŁANIA 

JAK ZADBAĆ O DZIAŁANIE PRZEDSIĘBIORSTWA W CZASIE PANDEMII

 

Pandemia sprawiła, że wiele przedsiębiorstw stanęło w obliczu zagrożenia kryzysem. 

Osoby zarządzające musiały podejmować szybkie i niełatwe decyzje, aby zapewnić działanie swoich organizacji. Takie pojęcia jak ryzyko, analiza ryzyka, czy plan ciągłości działania nabrały w przedsiębiorstwach nowego znaczenia.

Każdy przedsiębiorca wie, że jego firma jest narażona na różnego rodzaju ryzyka. Im większa firma, więcej procesów, większa skala działania, tym więcej potencjalnych zagrożeń.

Dotychczas przeprowadzając audyty w różnych przedsiębiorstwach, niezależnie, czy była to duża czy średnia firma, międzynarodowa czy polska, z branży spedycyjnej, czy też produkcyjnej, w niewielu z nich spotykałam sprawnie działający system zarządzania ryzykiem. Gdy pytałam o analizę ryzyka, najczęściej nie było wdrożonego żadnego formalnego procesu. A pojęcie planu ciągłości działania było znane nielicznym.

Firmy najczęściej skupiały się na wypełnieniu wymogów określonych w przepisach prawa np. przepisach bhp lub ochrony danych osobowych (RODO). Jeżeli przepisy narzucają na przedsiębiorcę obowiązek posiadania pisemnych procedur, to są one tworzone i wdrażane. 

Jednak rzadko kiedy poprzedza je kompleksowa analiza ryzyka. A procedury niedostosowane do zidentyfikowanych zagrożeń, nie są skutecznym narzędziem ochrony.

Jeszcze mniej firm miało solidnie przygotowany Plan Ciągłości Działania (Business Continuity Plan). Zwykle sprowadzał się to do spisania procedury awaryjnej w obszarze IT. Firmy doświadczają takich zdarzeń jak ataki hackerskie, czy awarie sprzętu, widzą więc ich skutki i mają świadomość ryzyka. A przecież zagrożenia dotyczą nie tylko IT….

Ponad rok temu na świecie wybuchła pandemia. Nie znam przedsiębiorstwa, które przewidziało takie zagrożenie i uwzględniło związane z nim ryzyka w swojej analizie. Pandemia Covid-19 zmusiła firmy do zastanowienia się, jak zadbać o swój biznes w sytuacji nowego zagrożenia. Musiały nagle podjąć działania, aby minimalizować nowy rodzaj ryzyk biznesowych i epidemiologicznych oraz umożliwić firmie dalsze funkcjonowanie.

To co powinien zrobić przedsiębiorca, który ma już świadomość nowych ryzyk?

Świadomość istnienia ryzyka to pierwszy, niezbędny krok, od którego zaczyna się proces zarządzania ryzykiem. Zasady postępowania z tymi ryzykami są takie same jak w przypadku innych. Zidentyfikowane ryzyka należy poddać analizie tj. oszacować prawdopodobieństwo ich wystąpienia oraz potencjalne skutki i wycenić każde z nich, a następnie zaplanować i wdrożyć działania, które pomogą zminimalizować wystąpienie ryzyka.

Gdy dwa lata temu mówiłam moim Klientom, że potrzebują Planu Ciągłości Działania, który umożliwi ich firmom działanie, gdy na skutek katastrofy nie będzie możliwe kontynuowanie kluczowych procesów na dotychczasowych zasadach np. wybuchnie pożar, który zniszczy siedzibę firmy, będzie powódź, która unieruchomi główną halę produkcyjną itp. większość się uśmiechała mówiąc: Pani nie przesadza, to nas nie spotka. Oczywiście do tej pory w większości przypadków mieli rację. 

Teraz widzimy, że niestety nawet najmniej prawdopodobne scenariusze potrafią się wydarzyć. Dlatego warto o nich rozmawiać, zrozumieć konsekwencje, opisać i być przygotowanym.

Czy to znaczy, że polscy przedsiębiorcy są optymistami, czy ryzykantami?

Moim zdaniem optymizm i gotowość na ryzyko są bardzo potrzebne, aby odnieść sukces w biznesie. Jednak umiejętności przewidywania ryzyka oraz przeciwdziałania zagrożeniom są także niezbędne. Każdy przedsiębiorca wie, że ryzyko jest nieodzownym elementem prowadzenia działalności. Oczywiście, część ryzyk może i powinna być zaakceptowana, ale umiejętność i proces identyfikacji ryzk, które są nieakceptowalne jest kluczowym wymogiem współczesnego biznesu. W przypadku, gdy skutki ryzyka mogą mieć negatywny wpływ na kluczowe procesy w firmie, nie należy go ignorować, trzeba działać. Na tym polega zarządzanie ryzykiem.

Gdy przedsiębiorca ma świadomość ryzyka, ma zrobioną analizę ryzyka, o której wcześniej wspominaliśmy, to co dalej?

Potrzebna jest analiza procesów biznesowych, żeby wyłonić kluczowe procesy, które należy szczególnie chronić. Gdy przedsiębiorca wie, które procesy w firmie są kluczowe dla ciągłości działania i ma świadomość istniejących zagrożeń, dokonał analizy ryzyka, dzięki której wie, które z nich są istotne, z perspektywy działania firmy, na tej podstawie może stworzyć Plan Ciągłości Działania. Czyli opracować zespołowo (można skorzystać ze wsparcia eksperta, ale kluczowa jest rola pracowników firmy) i spisać procedury awaryjne/odtworzeniowe (tzw. Disaster Recovery Plan), które w przypadku wystąpienia zdarzenia, pozwolą na sprawne działanie (np. odzyskanie danych) i minimalizację strat. Ważnym elementem wdrożenia PCD jest przeprowadzenie testów/symulacji oraz regularne szkolenie pracowników w tym zakresie.

Czyli Plan Ciągłości Działania (w skrócie PCD) to taki plan ratunkowy w sytuacji kryzysowej?

Tak można powiedzieć. Dzięki spisaniu planów działania w przypadku zdarzenia, każdy wie co i jak ma robić. Jeżeli ich nie ma w przedsiębiorstwie, w awaryjnej sytuacji trudno o szybkie i skoordynowane działanie. Działając pod presją czasu, w stresie, gdy wszyscy rzucają się, żeby „gasić pożar”, podejmowane działania często są chaotyczne i w efekcie, mało skuteczne. Może to prowadzić do istnych strat w przedsiębiorstwie, łącznie z zatrzymaniem działania firmy.

Czy posiadając Plan Ciągłości Działania przedsiębiorca może spać spokojnie?

Jeżeli Plan Ciągłości Działania jest efektem przeprowadzenia firmy przez proces zarządzania ciągłością w firmie, to osoby zarządzające przedsiębiorstwem mogą być spokojniejsze.

Posiadanie dobrze przygotowanego PCD jest dowodem na to, że organizacja jest świadomie zarządzana. Zarządzający wiedzą jakie procesy są kluczowe dla działalności firmy, jakie są ryzyka zawiązane z ich biznesem i jak nimi zarządzać. Opracowanie procedur nie sprawi, że zniknie zagrożenie, ale pozwala zarządzać ryzykiem, minimalizować je. Niezbędnym elementem zarządzania jest monitoring ryzyka. Należy regularnie przeprowadzać analizę ryzyka i jeżeli zajdzie taka potrzeba, to na tej podstawie aktualizować Plan Ciągłości Działania oraz tak jak już wspomniałam szkolić pracowników.

Z Moniką Michasiewicz rozmawiał Andrzej Kazimierski, KontrolerINFO