Masz newsa? Powiedz nam o tym!

Straty do 300 mln dolarów – to koszt, jaki przyszło zapłacić jednemu z największych w Europie operatorów kontenerowych, po tym, jak zaatakował go wirus NotPetya. Z tego samego powodu o 300 mln dolarów spadły przychody jednej z grup kurierskich. A ofiar cyberataku było dużo więcej. Firmy na całym świecie mogły stracić nawet ponad miliard dolarów. To tylko jeden z wielu radykalnych przykładów, pokazujących, jak mocno nagły kryzys może uderzyć w przedsiębiorstwo. Jest jednak sposób, by się przed tym uchronić. A przynajmniej zminimalizować ryzyko potężnych strat.

Dorota Ziemkowska, Trans.INFO: W jaki sposób firmy powinny przygotowywać się na wypadek kryzysów?

Monika Appolt-Bubacz, dyrektor ds. ryzyka w Grupie Raben: Sytuacja kryzysowa może spotkać każdego, w każdej chwili. Dlatego właśnie firma, która chce prowadzić swój biznes bez większych zakłóceń, powinna być doskonale przygotowana na każdą ewentualność. Sytuacje prowadzące do zakłóceń w działalności firm mogą być wywołane przez różne czynniki, dlatego dobrą praktyką jest wdrożenie systemu zarządzania ciągłością biznesu. Proces ten obejmuje kilka etapów.  Gwarantują one zarządowi możliwość ustalenia, które działania biznesowe powinny być bezwzględnie chronione i objęte systemem, a które mogą być świadomie wstrzymane.

Firmy mogą się zabezpieczyć między innymi tworząc odpowiednie procedury. I co ważne, podchodząc do tematu w sposób kompleksowy. Niestety, niektóre podmioty podchodzą wybiórczo do tematyki procedur zarządzania kryzysowego. Przykładowo zdarza się, że firmy, które mają systemy zintegrowanego zarządzania, oparte na normach ISO, gdzie pojawia się wymóg tworzenia procedur kryzysowych, zajmują się tematem tylko w odniesieniu do wycinkowych elementów działalności. Takie wybiórcze podejście jest zdecydowanie niewystarczające.

I na jakich elementach działalności zazwyczaj się skupiają?

Często tworząc swoje plany ciągłości działania firmy skupiają się na typowych operacjach, jednak bez wchodzenia w szczegóły. Bez przyglądania się wszystkim działaniom, które się z nimi wiążą. Dla przykładu w firmie z branży transportowej procedury dotyczyłyby tylko transportu towarów jako takich. Bez zastanowienia się nad tym, co będzie, jeśli zawieszone zostanie na dwa dni raportowanie do klienta.

Często firmy zaczynają swoje działania od pisania procedury kryzysowej, czyli od tego, co trzeba będzie zrobić, kiedy pojawi się jakiś kryzys, w ściśle określonym miejscu. Sama procedura powinna być jednym z końcowych produktów całego projektu zarządzania ciągłością działania. W przeciwnym razie firma ryzykuje, że opierając się na założeniach, z góry pomija cały wachlarz rozwiązań, które mogą jej umożliwić obronienie się przed ryzykiem.

Tymczasem żeby się dobrze przygotować do kryzysu, trzeba wyjść od podstawy, czyli od odpowiedzi na pytanie, co dokładnie chcemy chronić jako organizacja. Co jest dla nas krytyczne. Wiadomo, że każda firma wprowadza system zarządzania ciągłością działania po to, żeby chronić w pierwszej kolejności swój interes, a w drugiej wszystkich interesariuszy. Ale co to znaczy „swój interes”? Jakie działania w firmie pod niego podlegają? To trzeba ustalić na samym początku. Bo nie da się ukryć – niemożliwe jest stworzenie procedury, która by chroniła wszystkie możliwe procesy w firmie. Są takie, które nie są krytyczne. Mogą więc zostać zawieszone na krótki czas.

Może Pani podać przykład?

To bardzo mocno zależy od działalności firmy, od branży. Przykładem może być księgowość. Mogą zostać zatrzymane procesy księgowe na krótki okres. Oczywiście nie cała, bo jeśli jakieś płatności są krytyczne do realizacji najważniejszych działań w firmie, to trzeba je wykonać. Jednak już np. księgowanie faktur można na chwilę wstrzymać lub opóźnić. Oczywiście i w tym wypadku są wyjątki. Jeśli prowadzi się Centrum Usług Wspólnych, to w takim przypadku księgowanie faktur jest główną działalnością. Wówczas to właśnie ją trzeba chronić.

Przykład z branży:

Styczeń 2017 r. Tuż przed północą w hali firmy zajmującej się serwisem pojazdów wybucha pożar. Ogniem zajmują się stojące w środku ciężarówki. Zagrożona jest również druga część budynku, zajmowana przez firmę transportową. Przez kilka godzin strażacy walczą, by nie zajęła się cała nieruchomość. Ostatecznie ogień strawił halę pierwszej firmy, uszkodził również część budynku należącego do drugiej.

Jakie procesy w Rabenie należą do krytycznych, a które mogą być zawieszone?

W przypadku branży TSL przykładem niekrytycznej działalności może być właśnie wspomniana księgowość. Z kolei do tej drugiej grupy będzie należeć większość procesów operacyjnych, czyli zarówno transportowych, jak i logistycznych. Jednak nie wszystkie. Wśród procesów operacyjnych dotyczących logistyki mogą być takie, które możemy na jakiś czas wstrzymać w razie sytuacji kryzysowej w firmie. Myślę na przykład o raportowaniu do klienta. Możemy je wstrzymać na 48 godzin, a nawet na 3 dni w specyficznych sytuacjach.

Tymczasem inna firma o podobnej do nas działalności może uznać za krytyczne zupełnie inne procesy. Ponieważ ma innych klientów, różnią się więc i zapisy w umowach, z których wynika, jakie elementy będą generować ogromne straty, a jakie są zabezpieczone klauzulami umownymi. Stąd też, każda firma musi sama wytypować procesy i usługi, które chce chronić.

Jak ma to zrobić?

Pierwszym krokiem jest przekonanie ludzi, że do sytuacji kryzysowej może w ogóle dojść. To często bywa trudne. Gdy pytamy np. o przerwanie procesu logistycznego w magazynie, naturalną reakcją pracowników jest opór. Wskazują, że do czegoś takiego nie może dojść, bo przecież jest cała masa zabezpieczeń. Muszą jednak zrozumieć, że na tym etapie nie mówimy o zabezpieczeniach, ale o tym, co mogłoby się stać, gdyby jednak zawiodły. Ludzie muszą sobie wyobrazić, co by się stało, gdyby jednak doszło do przerwania tego procesu. Wówczas badamy skutki, jakie się pojawią po 1, 4 godzinach, po dobie, dwóch, trzech i po pięciu dniach.

Skąd nagle te 5 dni?

Ponieważ obserwacje dowodzą, że jeśli w ciągu 5 dni w odniesieniu do jakiegoś procesu w firmie nie zostaną wygenerowane ogromne straty, to znaczy, że można go świadomie zawiesić. Oczywiście na krótki czas. W dojrzałych organizacjach, w których wdrożony jest system zarządzania ciągłości działania, wprost określone są rodzaje działalności, które podczas kryzysu powinno się zawiesić. Na przykład wyszczególnione są działy, w których pracownicy dostają wówczas urlop, ponieważ np. ich stanowiska komputerowe są potrzebne do zarządzenia kryzysem. Żeby jednak wytypować również te działy, konieczne jest zbadanie skutków w określonych przedziałach czasowych, o których wspomniałam. Co ważne – skutków zarówno policzalnych, jak i niepoliczalnych. Trzeba bowiem wycenić, w którym procesie doszłoby do największych strat.

Tylko jak porównać straty policzalne z niepoliczalnymi?

Powiem, jak robimy to w Grupie Raben. Wszystkie skutki sprowadzamy do jednego mianownika. Stosujemy skalę od 1 do 5, zarówno w odniesieniu do policzalnych, jak i niepoliczalnych. Czasami przy takim porównaniu okazuje się, że zatrzymanie jakiegoś procesu nie będzie generowało ogromnych strat finansowych, ale wygeneruje za to gigantyczne straty niepoliczalne – na przykład związane z utratą życia pracowników lub reputacyjne. Wówczas taki proces może zostać zakwalifikowany przez firmę jako krytyczny, który trzeba objąć planem zarządzania ciągłością działania.

Przykład z branży:

Październik 2018 r. Na terenie firmy transportowej z Pruszcza Gdańskiego dochodzi do wycieku blisko 200 litrów toksycznego kwasu fluorowodorowego, który wywołuje trudne do zagojenia rany. 71 pracowników jest ewakuowanych, służby ratunkowe wyznaczają wokół zakładu 150-metrową strefę ochronną. Kwas pochodził z ładunku, który firma miała zawieźć do jednego z zakładów znajdujących się na Pomorzu.

Jak duży procent wszystkich działań w firmie możemy wrzucić do zbioru działań krytycznych? Wydaje mi się, że tendencją firm będzie określanie w ten sposób jak największej liczby procesów.

Z jednej strony tak, bo rzeczywiście każda firma chciałaby mieć zawsze kompleksową obsługę klienta. Z drugiej strony nie, bo w sytuacji kryzysowej naprawdę rzadkością jest, by firma była w stanie zrealizować 100 proc. swojej działalności. Świadomie musi więc z czegoś zrezygnować.

Czy jest jakieś maksimum, jeśli chodzi o procesy, które możemy chronić?

To maksimum określa zdrowy rozsądek, który każda firma musi sobie sama wypracować w trakcie projektowania systemu zarządzania ciągłością działania. Nie ma twardych zaleceń, które by powiedziały np., że nie można przekroczyć 20 proc. procesów.

Dobrze, w takim razie, jaki procent procesów w Raben jest określony mianem krytycznych?

Grupa Raben to duża organizacja, mająca swoje spółki w 12 krajach Europy. W tym wypadku każda spółka indywidualnie robi tę analizę i w każdej wygląda to trochę inaczej. W Grupie Raben, w przypadku większych spółek do 15% wszystkich procesów uznaje się za krytyczne. Natomiast przy mniejszej skali działalności, za krytyczne uznaje się czasem nawet do 40% wszystkich procesów, odbywających się w organizacji. Nie musi to jednak być regułą, ponieważ wiele zależy od tego jak organizacja powstała i rozwijała się w przeszłości. Np. czy powstała jako jeden podmiot, który z czasem rozwinął się w większą organizację, czy też firma powstała z połączenia kilku niezależnych podmiotów.

Wróćmy do procesu tworzenia systemu zarządzania ciągłością działania. Kto ostatecznie decyduje, które procesy w firmie będą zabezpieczane?

Po tym, jak powstaje zestawienie procesów, wraz z oceną wysokości strat, to zarząd, w oparciu o strategię firmy, jej misję i plany rozwoju, podejmuje decyzję, co chce bezwzględnie zabezpieczyć.

Różnie to wygląda. Niektóre firmy, są bardziej skłonne podjąć jakieś ryzyko. Na przykład nie uznają składania raportów okresowych wymaganych prawem za krytyczne. Uważają, że jeśli przydarzy się kryzys, to przygotowywanie raportów odłoży się na później, bo w tym momencie ludzie będą potrzebni do innych zadań. Trudno, najwyżej firma zapłaci 10 tys. zł kary.

W bardzo sformalizowanych organizacjach ten etap tworzenia projektu kończy się uchwałą zarządu, która wyraźnie definiuje, jakie procesy są dla firmy krytyczne.

Przykład z branży:

Połowa października 2018 r. Złodzieje kradną z parkingu firmy transportowo-spedycyjnej ciężarówkę z ładunkiem. I to nie byle jakim. Skradziono 19 ton świeżego łososia wartego ponad 600 tysięcy zł! Dokładnie ten sam ciągnik, z tą samą naczepą (wówczas pustą) został skradziony miesiąc wcześniej. Wtedy udało się go odnaleźć po kilku dniach.

Firma ma wybrane procesy krytyczne. Co później?

Po wyznaczeniu krytycznych procesów, można przystąpić do tak zwanej analizy ryzyka. Jednak żeby ją zrobić, to wiedząc, jakie procesy chcemy chronić, musimy je najpierw rozebrać na części pierwsze. Czyli ustalić, jakie zasoby są nam przy tych procesach potrzebne. I zrobić to jak najdokładniej, a przy tym od razu sprawdzać, ile jakich zasobów mamy na ten moment, a ile potrzebujemy jako minimum.

To bardzo ważne rozróżnienie. Podam pani przykład – mamy klienta, dla którego przewozimy białą technikę (np. AGD – przyp. red.), do tego konieczny jest specjalny wózek widłowy. Jeśli podczas inwentaryzacji okaże się, że na magazynie jest tylko jeden, a minimum to też jeden, wówczas od razu musimy sobie odpowiedzieć na pytanie: co zrobimy, gdy on się zepsuje?

W ten sposób zinwentaryzować musimy wszystko. Pracowników, infrastrukturę, technikę, IT, aplikacje… Dopiero wówczas wybieramy się na wizję lokalną.

Do wszystkich lokalizacji? Przecież może być ich mnóstwo.

Oczywiście nie do wszystkich, a tylko do takich które jako kluczowe wskazuje nam zarząd. Rzeczywiście, na etapie tworzenia analizy ryzyka, takie jeżdżenie zajęłoby nam wiele miesięcy.

Naturalnie, tworząc procedury działania w sytuacjach kryzysowych, tworzymy je dla całej organizacji. Jednak na etapie analiz jedziemy do wybranych miejsc. Tam patrzymy na drogi dojazdowe, odległość od rzeki, od lotniska. Pytamy o sąsiedztwo, na przykład o to, czy w pobliżu nie ma np. ferm zwierząt. Zdarzały się bowiem nieraz w różnych firmach przypadki, że np. Sanepid wprowadzał kwarantannę i zamykał cały obszar. Pojawiał się wtedy problem.

Następnie sprawdzamy również samą lokalizację. Jak jest wyposażona? Jakie ma systemy zabezpieczeń? Czy można na przykład część lokalizacji wydzielić i korzystać z niej, gdyby coś się działo w całym obiekcie.

Dopiero wtedy, mając całą inwenturę za sobą, robimy analizę ryzyka i zastanawiamy się nad działaniami, jakie już zostały w tych miejscach wdrożone. Analizujemy: jakie ryzyko pojawia się w którym obszarze, i w jaki sposób na ten moment je kontrolujemy. Czy to jest wystarczające? Przygotowujemy rekomendacje. Na przykład patrząc na drogę dojazdową do magazynu zastanawiamy się, czy mamy możliwość wykorzystania innej drogi, gdyby nam zablokowano główną. A może trzeba wybudować drugi wjazd? A może trzeba ustalić z policją możliwość korzystania z dróg objętych zakazem wjazdu ciężkiego taboru? – oczywiście w razie kryzysu.

Co się dzieje z tymi rekomendacjami?

Z wszystkich tych rekomendacji powstaje katalog, który przedstawiamy zarządowi. On zaś decyduje, które rozwiązania wdraża, a gdzie akceptuje ryzyko takie, jakie jest. Bo na przykład rozwiązanie jest drogie, niewspółmierne ze stratami, których chcemy uniknąć.

Kiedy już wiemy, jakie jest ryzyko, wiemy, co i kiedy chcemy wdrożyć, możemy się zastanowić, jak będziemy reagować na kryzys jako firma. Oczywiście, znów ustalamy to razem z zarządem. Bo to on decyduje o tak zwanej strategii zarządzania ciągłością działania. Czyli o tym, jak dokładnie będziemy reagować podczas kryzysu – co akceptujemy, a czego absolutnie nie. Na przykład, w Grupie Raben w odniesieniu do niektórych klientów stosujemy transmisję zleceń online. Musieliśmy więc odpowiedzieć sobie na pytanie, czy akceptujemy, żeby te dane zostały w jakiś sposób utracone. Owszem, możemy poprosić klienta o przesłanie ich jeszcze raz. Tylko czy my, jako firma, dopuszczamy w ogóle takie zachowanie? Odpowiedź była oczywista. Nie możemy do takiej sytuacji dopuścić.

Do takich detali trzeba zejść. A następnie spisać to wszystko w jednym dokumencie, czyli we wspomnianej strategii.

Kto ma dostęp do tego dokumentu?

Do strategii zarządzania ciągłością działania dostęp mają wszystkie osoby, które są zdefiniowane w strukturze zarządzania kryzysowego. Ponieważ, jeśli mają podjąć jakieś działania w trakcie kryzysu, to muszą wiedzieć jakie.

W tej grupie są szeregowi pracownicy?

Założenie jest takie, że członkowie zespołów kryzysowych muszą być świadomi, co i w jaki sposób organizacja chce chronić. Ich skład jest różny, w zależności od poszczególnych spółek. Zdarza się, że szeregowi pracownicy także mają do nich dostęp. Jednak często to nie jest tak, że pracownik, dajmy na to, działu transportu, zna całą strategię firmy. Poznaje tylko część, dotyczącą jego obszaru. Ma więc wycinkową wiedzę, tylko na temat procesu, którym się zajmuje. Nie będzie na przykład wiedział, jak podczas kryzysu zachowuje się logistyka.

A w jaki sposób organizacja broni się przed wyciekiem takich informacji, związanym chociażby z rotacją pracowników?

Mamy zapisy w regulaminie pracy, dotyczące poufności informacji. A poza tym jest to kwestia etyki zawodowej naszych pracowników.

Jak często zmienia się ten dokument? Firma się rozrasta, a to na pewno też trzeba ująć w strategii.

Tak naprawdę w przypadku strategii BCM mówimy o procesie, nie o jednorazowym działaniu. Każda większa zmiana w firmie powoduje, że musimy wrócić do dokumentów i zastanowić się, czy analiza, którą przeprowadziliśmy, jest nadal spójna z rzeczywistością.

Mówiąc konkretnie, co znaczy „większa zmiana”? Wybudowanie nowej lokalizacji, nowego magazynu? Nawiązanie współpracy z nowym klientem?

Wszystkie czynniki, które pani wymienia mogą spowodować konieczność przeanalizowania na nowo wszystkich ryzyk. Może wróćmy do przykładu klienta z białą techniką. Załóżmy, że mieliśmy jednego takiego klienta, operacje były niewielkie. Nagle postanowiliśmy się specjalizować w obsłudze takich firm. Wówczas okazuje się, że potrzebujemy zupełnie innych środków. Już nie wystarczy 5 tys. metrów kwadratowych przestrzeni magazynowej, ale potrzebnych jest np. 20 tys. Już nie jeden wózek do przewozu takiego towaru, ale kilka czy nawet kilkanaście.

A więc z każdym nowym klientem, przy każdej przebudowie, fundamentalnej zmianie w firmie, trzeba wracać do analizy ryzyka. Nieaktualne procedury mogą być fatalne w skutkach, bo podejmiemy wówczas kluczowe decyzje w oparciu o dane, które są już nieaktualne. Dlatego też firma, która podejmuje decyzję o tym, żeby mieć system zarządzania ciągłością działania, musi mieć też świadomość, że będzie on się wciąż zmieniał. Tak samo, jak zmienia się organizacja.

W dalszej części wywiadu przeczytasz m.in. o tym, jak testuje się scenariusze działań podczas kryzysów i jak połączyć własny system ciągłości działania z systemami klientów, które czasami opierają się na zupełnie innych założeniach, niż nasze.

Fot. Raben

Komentarze

comments0 komentarzy
thumbnail
Aby ustawić powiadomienia o komentarzach - przejdź do swojego profilu