Norma ISO 22301 w zarządzaniu ciągłością działania – czym jest i jak może pomóc firmie?
Norma ISO 22301 to narzędzie, dzięki któremu możesz zbudować odporność swojej firmy i zyskać pewność, że jesteś przygotowany na ewentualne poważne zakłócenia. To zestaw gotowych najlepszych praktyk, które tylko czekają na wdrożenie. Tylko jak to zrobić? Jak norma dotycząca systemów zarządzania ciągłością działania może pomóc firmom?
Ostatnie lata nie są łaskawe dla firm. Pandemia COVID-19, wojna w Ukrainie… To sytuacje kryzysowe, które odbijają się na kondycji przedsiębiorstw na całym świecie. A przecież to niejedyne ryzyka, z którymi przychodzi im się mierzyć. Owszem, skala tych wydarzeń jest ogromna, tak samo jak strat finansowych, ale o rozmaitych ryzykach wpływających na ciągłość działania mówiono już wcześniej. Nowe zagrożenia nie sprawiły, że te stare przestały występować, wręcz przeciwnie. Dzisiaj firmy muszą być szczególnie uczulone i gotowe na pojawienie się takich wydarzeń jak cyberatak, zakłócenia w dostawie energii, pożary i powodzie czy też problemy z łańcuchem dostaw.
I tutaj z pomocą przychodzi norma ISO 22301, która od lat jest wdrażana w polskich firmach. Dotyczy systemów zarządzania ciągłością działania i najogólniej rzecz ujmując – dostarcza międzynarodowych najlepszych praktyk, aby pomóc firmom skutecznie reagować, przeciwdziałać incydentom oraz sprawnie odzyskiwać równowagę biznesową po ich wystąpieniu.
Co określa norma ISO 22301?
Pandemia pokazała, że każda firma może być narażona na wysokie ryzyko. Dotyczy to zwłaszcza instytucji użyteczności publicznej, usług finansowych, transportowych, telekomunikacyjnych oraz przedsiębiorstw z takich branż, jak ropa i gaz oraz produkcja żywności. Nie możemy zapomnieć o organizacjach, w których ciągłość działania jest kluczowa, np. tych z sektora publicznego. Jaki jest sposób, aby przeciwdziałać ryzykom i/lub zmniejszyć skalę ich oddziaływania? Odpowiedzią jest BCM.
Zarządzanie ciągłością działania (z ang. Business Continuity Management, w skrócie BCM) to zbiór działań podejmowanych przez organizację w celu zapewnienia dostępności krytycznych funkcji biznesowych w przypadku wystąpienia sytuacji kryzysowej. Dostępność ta dotyczy wszystkich stron zainteresowanych: klientów, dostawców, pracowników i regulatorów.
No dobrze, a jaka jest tu rola normy ISO 22301? Otóż norma ISO 22301 odnosi się do BCM i służy do identyfikacji kluczowych czynników ryzyka, które mogą mieć wpływ na organizację. Dzięki normie można lepiej zrozumieć sam sposób działania organizacji, a to jest niezbędne dla utrzymania jej działań w najtrudniejszych warunkach. Mówiąc ogólnie, norma ISO 22301 jest przewodnikiem, jak zadbać o ciągłość działania organizacji i wesprzeć działania firmy na rynku.
Jako ciekawostkę dodamy, że ciągłość działania według normy ISO 22301 przypomina sztukę wojny opisywaną przez SUN TZU, jednego z największych starożytnych myślicieli Dalekiego Wschodu. Tutaj poczytasz o tym więcej: SUN TZU – sztuka wojny a ciągłość działania według normy ISO 22301
Co to jest rejestr ryzyka?
Norma ISO 22301 dotyczy każdej organizacji, niezależnie od rozmiaru i rodzaju prowadzonej działalności. Oznacza to, że każdy może wprowadzić stosowne standardy, które zapewnią ciągłość działania, nawet w przypadku wystąpienia sytuacji kryzysowej i trudnej do przewidzenia jak światowa pandemia COVID-19.
Norma ISO 22101 przeznaczona jest dla wszystkich firm, które chcą:
opracować i wdrożyć system zarządzania ciągłością działania
utrzymać i doskonalić system zarządzania ciągłością działania
uzyskać certyfikat dla systemu zarządzania ciągłością działania
zapewnić zgodność z ustanowioną polityką ciągłości biznesu
Każda firma, która ma wdrożoną powyższą normę, może deklarować zgodność z międzynarodowym standardem ISO 22301. Co więcej, może starać się o certyfikację ISO 22301 – w PBSG pomagamy firmom przygotować się do certyfikacji, zapewniamy też merytoryczne wsparcie na każdym etapie.
Chcesz uzyskać certyfikat ISO 22301? Pomożemy! Sprawdź ofertę: Certyfikacja ISO 22301
Jakie są korzyści z wdrożenia wymagań nowej ISO 22301?
System zarządzania ciągłością działania zgodny z normą ISO 22301 ogólnie zapewnia jasny i szczegółowy obraz funkcjonowania organizacji. Już samo to jest korzyścią, ponieważ norma dostarcza podstaw, by budować wizerunek zaufanego partnera, przygotowanego na nieprzewidziane zdarzenia. Dzięki temu takiej organizacji łatwiej jest osiągnąć cele biznesowe, ponadto postrzegana jest jako partner godny uwzględnienia w działaniach strategicznych.
W przypadku nieplanowanych zdarzeń dobrze wdrożony system zarządzania ciągłością działania wg normy ISO 22301 pozwala:
- lepiej zrozumieć krytyczne kwestie i wrażliwe obszary
- skuteczniej reagować na sytuacje kryzysowe
- odtworzyć zdolność organizacji do ponownego działania w określonym czasie i na ustalonym poziomie
- zwiększyć odporność i zdolność organizacji do funkcjonowania niezależnie od niekorzystnych czynników
- zmniejszyć koszty i wpływ zakłóceń incydentów na wyniki działalności
- stale monitorować i testować poziom gotowości
- obniżyć koszty ubezpieczenia od przerw w działalności
- zwiększyć konkurencyjność na rynku
- podnieść wiarygodności firmy w oczach klientów, inwestorów i udziałowców
Pierwszą, podstawową korzyścią wynikającą z wdrożenia wymagań normy ISO 22301 jest przestrzeganie wymogów prawnych i regulacyjnych. Dzięki temu nie tylko zyskuje się sprawny system zarządzania ciągłością działania, ale też chroni aktywa, obroty i zyski.
Czy warto certyfikować system zarządzania ciągłością działania?
System zarządzania ciągłością działania zgodny z normą ISO 22301 daje podstawy, które są przydatne w planowaniu strategicznym, zarządzaniu ryzykiem, zarządzaniu łańcuchem dostaw, transformacji biznesowej i zarządzaniu zasobami. Już samo korzyścią jest wprowadzenie takiego systemu (głównie są to korzyści organizacyjne i kosztowe), ale w momencie ocertyfikowania te korzyści wzrastają (głównie o kwestie wizerunkowe).
Co daje certyfikat ISO 2230? Firma, deklarując zgodność z ISO 22301, pokazuje klientom, dostawcom i organom regulacyjnym, że ma wdrożone efektywne systemy i procesy ciągłości działania. Obiektywnym dowodem na to jest właśnie certyfikat, który pełni tutaj funkcję znaku jakości.
Dzięki certyfikacji ISO 22301 udowodnisz to, że Twoja firma:
ma skuteczny system zarządzania działania, który spełnia rygory niezależnego audytu
jest stabilna i może nadal działać bez względu na nieprzewidziane zakłócenia
jest zaangażowana na rzecz klientów, ponieważ chce zapewnić stałość usług
aktywnie buduje wizerunek zaufanego partnera
stawia na wiarygodność, ponieważ może pochwalić się cenionym i prestiżowym certyfikatem
Pamiętaj, że każda certyfikacja zaczyna się od zrozumienia normy i wdrożenia systemu zarządzania, który spełnia jej wymagania. Żeby tak się stało, potrzebujesz doradcy, która zapewni Twojej firmie kompleksowe wsparcie, począwszy od wdrożenia systemu BCM, jego audytu i przygotowania do certyfikacji, skończywszy na asyście na etapie starań o certyfikat.
Jak wygląda przygotowanie do certyfikacji ISO 22301?
Certyfikat ISO 22301 wydaje niezależna, zewnętrzna akredytowana jednostka certyfikująca. Rolą PBSG jest wsparcie firmy w uzyskaniu takiego certyfikatu. Asysta jest ważna, ponieważ certyfikacja przebiega dwuetapowo. W pierwszym etapie sprawdzana jest dokumentacja, a w drugim – system zarządzania ciągłości działania wraz z planami działania i procedurami.
Firma musi się gruntownie przygotować do całego procesu, dlatego, zanim wkroczą niezależni audytorzy, konieczne jest wykonanie audytu wewnętrznego. Obejmuje on m.in. audyt zgodności, analizę BIA, analizę ryzyka, przygotowanie dokumentacji BCM oraz przeprowadzanie warsztatów i szkoleń. W PBSG w ostatnim etapie dodatkowo zapewniamy doradztwo i wsparcie podczas audytu właściwego.
Tu zobaczysz, jak to wygląda w praktyce: Jak Emitel uzyskał certyfikat zgodności z normą ISO 22301 [case study]
Dlaczego zarządzanie ciągłością działania i ISO 22301 są ważne dla Twojej firmy?
Zalety przygotowania organizacji do zarządzania ciągłością działania są szczególnie widoczne w obliczu tzw. kryzysów światowych, jak to ma miejsce w przypadku pandemii koronawirusa czy wojny. Dzięki temu widzimy, jak sytuacje nieprzewidziane wpływają na gospodarkę, a nawet zdrowie publiczne. Skutecznie wdrożony BCM pomaga organizacji szybciej odnaleźć się w nowej rzeczywistości i odpowiednio zareagować, by w krótkim czasie przywrócić działalność do stanu pierwotnego.
Pamiętaj, że zarządzanie ciągłością działania nie odnosi się tylko do globalnych zjawisk takich jak np. pandemia, terroryzm czy kataklizmy. Zagrożeniem dla firmy są również cyberataki, ekstremalne zdarzenia pogodowe, zakłócenia w komunikacji stacjonarnej, awarie, odejścia kluczowych pracowników czy zniszczenie mienia Z tego też względu punktem wyjścia do opracowania systemu ciągłości działania jest analiza ryzyka. Dzięki niej zyskuje się rejestr możliwych ryzyk – ich opis, ocenę, a także potencjalne skutki. W tym celu powstają scenariusze postępowania, które powinny być regularnie testowane pod kątem efektywności, skuteczności i przydatności.
Najczęściej przygotowanie planu ciągłości działania obejmuje:
- określenia czasu potrzebnego do przywrócenie procesów po wystąpieniu awarii (RTO tj. Recovery Time Objective)
- określenia akceptowalnego poziomu utraty danych wyrażony w czasie (RPO, tj. Recovery Point Objective)
- przygotowania Disaster Recovery Plan (DRP), czyli planu odtworzenia infrastruktury informatycznej
- ustalenia komunikacji w czasie sytuacji kryzysowych
- zapewnienia a kluczowych dostawców i partnerów outsourcingu
- bezpieczeństwa i dostępności pracowników
Aby firma w ogóle mogła szybko i sprawnie reagować na incydenty i ryzyka, potrzebuje planów działania, które będą dostosowane do specyfiki i branży. Tym właśnie zajmujemy się w PBSG! Priorytetem dla nas jest wsparcie firmy w sposób kompleksowy i jak najbardziej odpowiadający jej potrzebom. Proponujemy wdrożenie systemu zarządzania ciągłością działania, a także pomoc w uzyskaniu certyfikatu poświadczającego zgodność z normą ISO 22301.
Jeśli jesteś zainteresowany wdrożeniem systemu zarządzania ciągłością działania zgodnego z ISO 22301, zapraszamy do kontaktu.