W tej białej księdze:
- Czy znasz słabe punkty swojej firmy?
- Ile wiesz o swoim łańcuchu dostaw?
- Czy możesz ulepszyć jego zarządzanie?
- Jak można ograniczyć szkody powstałe w wyniku przerwania działalności?
Poznaj swoje słabe punkty
Jedna na pięć firm nie posiada planu ciągłości działalności. Ta rzeczywistość kryje głębszy problem: organizacje systematycznie nie doceniają własnych słabości. BCM jest często kojarzone z planami odzyskiwania po katastrofie, ale prawdziwym punktem wyjścia jest uczciwe zrozumienie wewnętrznych słabości organizacji.
Większość przerw w działalności jest spowodowana awariami wewnętrznymi: zwarciami, nieobecnością personelu, awariami IT, a nawet pożarem. Zbyt wielu przedsiębiorców jest przekonanych, że takie zagrożenia ich nie dotyczą. Taka mentalność „nas to nie dotyczy” stanowi niebezpieczny punkt ślepy.
Przejmij kontrolę
Skuteczna ciągłość działalności zaczyna się od wzięcia odpowiedzialności. Zamiast przejmować kontrolę nad własnymi ryzykami, zbyt wiele organizacji biernie czeka, aż zewnętrzne strony (takie jak ubezpieczyciele, regulatorzy i konsultanci) powiedzą im, co mają robić. Bez ryzyka nie ma biznesu, można by argumentować. Ale trzeba stawić czoła ryzykom i uczynić je jawnymi.
Ustal swoje słabe punkty
Aby zrozumieć, jakie są Twoje słabości, musisz najpierw wiedzieć, od czego jesteś zależny. Wiele firm nie rozumie w pełni swojego śladu, na przykład. Skuteczna analiza podatności zidentyfikuje pięć głównych obszarów:
- Procesy i działalności
Które działalności i aktywa są niezbędne do świadczenia Twoich usług? Co musi być kontynuowane nawet w kryzysie? - Ludzie i wiedza
Którzy z Twoich pracowników posiadają unikalną wiedzę? I co się stanie, jeśli Twój specjalista IT, kierownik sprzedaży lub kierownik produkcji nie będzie już dostępny? - Technologia i dane
Od których systemów, aplikacji i połączeń danych jesteś całkowicie zależny? I jak szybko zauważyłbyś, gdyby coś przestało działać? - Obiekty i zasoby
Co by się stało, gdyby Twoje biuro, magazyn lub zakład produkcyjny stały się niedostępne? Czy masz alternatywy? - Strony zewnętrzne
Którzy z Twoich dostawców są niezbędni? Czy awaria jednego dostawcy oprogramowania sparaliżowałaby całą Twoją organizację?
Ta analiza często może ujawnić zaskakujące zależności. Na przykład MŚP, w którym tylko jedna osoba posiada całą kluczową wiedzę, producent, który jest całkowicie zależny od jednego dostawcy, lub usługodawca, który polega na podatnej strategii chmurowej.
Zadawaj niewygodne pytania
Prawdziwe słabości ujawniają się, gdy zadawane są właściwe pytania.
- Na co nie jesteśmy przygotowani? Jakie pytania sprawiają, że czujemy się niekomfortowo, ponieważ nie mamy właściwych odpowiedzi?
- Kim są nasi kluczowi pracownicy? Jeśli osoba X stanie się niedostępna, które procesy zostaną dotknięte?
- Czy mamy słaby punkt? Ten jeden system, ten konkretny dostawca lub ta jedna lokalizacja, co do której wszyscy się zgadzają: „Jeśli to zawiedzie, mamy problem”.
- Czy rozważyliśmy alternatywy dla krytycznych zasobów i/lub procesów firmy?
- Czy zignorowaliśmy jakieś sytuacje, które o mało co nie zakończyły się awarią? Te momenty, kiedy ledwo się udało. I czego się wtedy nauczyliśmy o naszych słabościach?
Zacznij dzisiaj
Ciągłość Twojego biznesu jest w Twoich rękach. Gdy tylko poznasz swoje słabości, możesz podjąć działalności.
Pierwsze kroki
- Umieść ciągłość działalności w agendzie zarządu.
- Zidentyfikuj swoje krytyczne zależności.
- Uwidocznij swoje słabości.
- Sprawdź, czy możesz zmniejszyć swoje zależności i podatności.
- Pomyśl o alternatywach.
- Stwórz zespół ds. podatności.
- Zaplanuj ćwiczenie awaryjne.
Zarządzanie ryzykiem to podejście szyte na miarę; z pewnością nie jest panaceum. Tajemnica tkwi w znalezieniu optymalnej równowagi: ram, które zapewniają niezbędną stabilność bez nadmiernego upraszczania rzeczywistości. Prawdziwa odporność nie zostanie osiągnięta poprzez bezbłędne wykonanie zewnętrznej listy kontrolnej, ale poprzez głębokie zrozumienie swojej organizacji. Uznanie swoich słabości umożliwi wprowadzenie niezbędnych ulepszeń. A zarządzanie zależnościami pozwoli na rozwój alternatyw.
Ten, kto mocno trzyma ster, bezpieczniej przepłynie przez każdą burzę.
Ryzyka wewnętrzne: priorytet numer jeden
To, co firmy najbardziej nie doceniają, często może stanowić największe zagrożenie. Podczas gdy organizacje przygotowują się na możliwe cyberataki, klęski żywiołowe i kryzysy geopolityczne, zbliżająca się katastrofa jest zwykle nieco bliżej domu. Skuteczne BCM zaczyna się od zarządzania tym, co może się wydarzyć w Twoim bezpośrednim otoczeniu.
Badania Allianz wykazały, że po pożarach i klęskach żywiołowych, słaba konserwacja i awarie techniczne odpowiadają za 14 procent wszystkich poważnych szkód biznesowych na świecie. Wadliwa maszyna, zwarcie lub błąd ludzki mogą być równie niszczące jak powódź. Ale z jedną kluczową różnicą: dotknie to tylko Ciebie, a nie Twoich konkurentów.
Najnowsze statystyki podkreśliły tę rzeczywistość. W ubiegłym roku, na przykład, same pożary komercyjne wzrosły o 23 procent, przy czym około jedna czwarta dotkniętych firm rolniczych i logistycznych straciła całe budynki. Około połowa wszystkich firm, które doświadczyły poważnych pożarów, bankrutuje w ciągu dwóch lat. Większość pożarów jest wynikiem błędu ludzkiego (24 procent) i zwarć (22 procent). Ale przy odpowiednim przygotowaniu są to ryzyka, którymi można łatwo zarządzać.
Cztery sytuacje awaryjne, które mogą się wydarzyć jutro
Wypadki przemysłowe
W rafinerii wybucha pożar, który mimo szybkiego ugaszenia skutkuje tygodniami przestoju. Chociaż nikt nie został ranny, a pożar został szybko opanowany, cała produkcja musi zostać wstrzymana w celu przeprowadzenia napraw i kontroli bezpieczeństwa.
Wyciągnięta lekcja: nawet przy dobrze wyszkolonych zespołach i nowoczesnych obiektach „proste” błędy operacyjne mogą mieć katastrofalne skutki.
Awaria IT
Operator kolejowy zostaje dotknięty awarią IT, która prawie całkowicie zatrzymuje ruch pociągów. W wyniku awarii systemu planowania, operator nie ma przeglądu lokalizacji swoich pociągów i personelu. W następującej ocenie operator przyznaje, że był niewystarczająco przygotowany na tak długotrwałą awarię IT.
Wyciągnięta lekcja: Żadna organizacja nie jest odporna na awarie techniczne. Proaktywne środki — od redundantnych systemów po kompleksowe kopie zapasowe i szybkie procedury eskalacji — stanowią różnicę między ograniczonym zakłóceniem a chaosem operacyjnym.
Niedobór personelu
Podczas pandemii koronawirusa 45 pracowników zakładu przetwórstwa mięsnego uzyskuje wynik pozytywny, co stanowi około 20 procent siły roboczej. Władze muszą natychmiast zamknąć ubojnię. W jednej chwili produkcja zostaje wstrzymana, a dostawcy muszą wysyłać swoje zwierzęta do innych obiektów. Wybuch został przyspieszony w zakładzie przez niedostateczny dystans społeczny, a firma nie miała ani odpowiednich planów na wypadek wybuchu poważnej choroby, ani alternatywnych harmonogramów pracy.
Wyciągnięta lekcja: Dostępność kluczowego personelu jest często niedoceniana jako czynnik ryzyka. Aby utrzymać krytyczne operacje w przypadku nagłej awarii, firmy muszą pomyśleć o zastępczym personelu, szkoleniu krzyżowym i harmonogramach rotacji.
Awaria infrastruktury
U dostawcy wybucha pożar – w wyniku którego krytyczny komponent, zarówno do montażu nowych maszyn, jak i konserwacji istniejących – nie może być dostarczony. Ze względu na zakres szkód, wznowienie produkcji może potrwać kilka miesięcy. Firma podejmuje natychmiastowe działalności. W ramach globalnej organizacji dokonuje się inwentaryzacji, ile produktów tego krytycznego komponentu jest jeszcze na stanie. Dział badawczy ocenia, jak długo komponent może funkcjonować bez awarii i opracowuje plan regeneracji i tymczasowego ponownego wykorzystania istniejących części. Dzięki współpracy między logistyką, łańcuchem dostaw i inżynierią, nie ma żadnych przestojów w produkcji – końcowy rezultat skutecznego zarządzania kryzysowego i lokalnej współpracy.
Wyciągnięta lekcja: Ponieważ problem strukturalny może ujawnić się nieoczekiwanie, aktualny plan awaryjny i silne partnerstwa stanowią różnicę między jednodniową niedogodnością a kilkumiesięcznym zakłóceniem.
Dlaczego ryzyka wewnętrzne powinny być Twoim priorytetem
Jeśli wybucha wulkan lub cyberatak wpływa na cały sektor, wszyscy dzielą ból. Ale jeśli to tylko Twoja fabryka się spali, Twoje IT ulegnie awarii lub Twój kluczowy personel będzie niedostępny, dotyczy to tylko Ciebie. Twoi konkurenci będą wtedy tylko zadowoleni z przejęcia Twoich klientów.
Zastanów się nad swoją sytuacją:
- Co stanowiłoby największe ryzyko w Twojej organizacji w podobnym incydencie?
- Które systemy lub procesy są całkowicie zależne od pojedynczego czynnika ryzyka?
- Kto odgrywa kluczową rolę w Twojej organizacji i nie ma zastępstwa?
- Kiedy ostatnio testowałeś swój plan kryzysowy?
Przerwanie działalności spowodowane przyczynami wewnętrznymi może natychmiast kosztować Cię udział w rynku, zaszkodzić Twojej reputacji i wyczerpać rezerwy finansowe. Jednak ryzykami wewnętrznymi zwykle łatwiej zarządzać niż zewnętrznymi katastrofami. Możesz na przykład poprawić bezpieczeństwo przeciwpożarowe, zbudować redundancję IT, zoptymalizować plany personalne i wcześniej pomyśleć o alternatywach.
Ten, kto zarządza wewnętrznymi słabościami, ma mniej do obawiania się od zewnętrznych zagrożeń.
Zagrożenia zewnętrzne
Podczas gdy większość zakłóceń w działalności pochodzi z wewnątrz, zagrożenia zewnętrzne mogą uderzyć w Twoją organizację równie mocno. Różnica polega na tym, że są one poza Twoją bezpośrednią kontrolą. W ciągu ostatnich kilku lat zobaczyliśmy, jak podatny stał się nasz wzajemnie połączony świat.
Zablokowany kanał żeglugowy, sabotaż infrastruktury, cyberataki lub napięcia geopolityczne – Twój łańcuch dostaw i działalność operacyjna są tak silne, jak ich najsłabsze ogniwo. Kwestią nie jest więc „czy” dotkną Cię czynniki zewnętrzne, ale „kiedy”. I jak dobrze jesteś przygotowany.
Cztery niedawne zagrożenia zewnętrzne, które zmieniły zasady gry
1. Wąskie gardła łańcucha dostaw: Suez
W marcu 2021 roku 400-metrowy kontenerowiec Ever Given utknął w Kanale Sueskim. Przez sześć dni statek blokował tę arterię żeglugową, opóźniając dostawy towarów o szacowanej wartości 9 miliardów dolarów amerykańskich dziennie. Ponad 400 statków musiało albo czekać, albo zmienić trasę wokół Afryki – objazd trwający ponad tydzień.
Wpływ był ogromny. IKEA miała na pokładzie 110 kontenerów i odnotowała opóźnienia dostaw do swoich europejskich sklepów. Producenci samochodów, już borykający się z niedoborami mikroprocesorów, stanęli przed perspektywą zatrzymania produkcji w ciągu tygodnia. A detalista Aldi poinformował, że artykuły promocyjne nie dotrą do ich sklepów przez kolejne tygodnie.
Wyciągnięta lekcja: Choć nowoczesne łańcuchy dostaw są wydajne, są kruche. Wiele organizacji nie docenia, jak bardzo są zależne od kilku tras transportowych czy węzłów logistycznych.
2. Kryzys infrastruktury geopolitycznej
Sabotaż rurociągów Nord Stream we wrześniu 2022 roku mocno uderzył w finanse wielu europejskich firm. Pomimo faktu, że rurociągi były wówczas ledwie funkcjonalne, atak wyeliminował wszelkie możliwości przywrócenia dostaw energii z Rosji. Koszty energii międzynarodowej firmy chemicznej BASF wzrosły o 3,2 miliarda euro, podczas gdy producent nawozów Yara musiał ograniczyć produkcję amoniaku do 35 procent mocy produkcyjnych. Firmy energochłonne zostały zmuszone do przeniesienia produkcji do tańszych regionów.
Wyciągnięta lekcja: Napięcia geopolityczne mogą czasami przekładać się bezpośrednio na koszty operacyjne. Suwerenność energetyczna zmieniła się z abstrakcyjnej koncepcji w ostrą groźbę biznesową.
3. Systemowe cyberataki
Fala oprogramowania ransomware w latach 2024 i 2025 pokazała, jak cyberataki osiągnęły nowy wymiar. W następstwie jednego z takich ataków Marks & Spencer był offline przez 46 dni, co oznaczało 300 milionów funtów utraconych zysków.
CDK Global, dostawca oprogramowania obsługujący branżę motoryzacyjną, bezradnie patrzył, jak tysiące dealerów na całym świecie straciło dostęp do swoich systemów. Atak spowodował 605 milionów dolarów amerykańskich strat w obrotach w ciągu zaledwie dwóch tygodni. Jeszcze poważniejszy był atak na Change Healthcare, które przetwarza płatności w służbie zdrowia w USA. W tym przypadku 100 milionów dolarów amerykańskich płatności było opóźnianych każdego dnia. Przy wyłączonym systemie pacjenci musieli płacić rachunki za opiekę zdrowotną z własnej kieszeni.
Wyciągnięta lekcja: Cyfryzacja tworzy nowe, pojedyncze punkty awarii. Atak na jednego dostawcę oprogramowania może zaszkodzić tysiącom klientów.
4. Sabotaż infrastruktury krytycznej
Od 2022 roku podmorskie kable na Morzu Bałtyckim zapewniające połączenia internetowe i energetyczne są systematycznie przecinane. W grudniu 2024 roku kabel energetyczny Estlink 2 między Finlandią a Estonią wraz z czterema kablami telekomunikacyjnymi jednocześnie uległ awarii. I nie było to przypadek – biorąc pod uwagę, że rosyjski tankowiec prawdopodobnie przeciągnął swoją kotwicę na odległość do 100 kilometrów po dnie morskim. I choć obecność redundantnych połączeń oznaczała, że można było uniknąć całkowitych awarii internetu, ceny energii elektrycznej w Estonii wzrosły o 10 procent w okresie odbudowy. Instytucje finansowe, dostawcy usług chmurowych i firmy logistyczne zostały dotknięte opóźnieniami i wyższymi kosztami.
Wyciągnięta lekcja: Infrastruktury krytyczne są wykorzystywane jako broń w konfliktach międzynarodowych. Firmy zależne od międzynarodowych połączeń danych lub energetycznych ryzykują wciągnięcie w gry geopolityczne.
Zagrożenia wtórne: niedoceniane groźby
Oprócz wspomnianych wyżej incydentów nagłaśnianych w mediach, rośnie również liczba zagrożeń wtórnych – lokalnych zjawisk naturalnych, takich jak powodzie, grad i osunięcia ziemi, które powodują znaczne szkody biznesowe. Reasekuratorzy odnotowują wyraźny wzrost takich regionalnych katastrof, które bezpośrednio wpływają na siedziby firm.
Od zagrożeń zewnętrznych do wewnętrznej odporności
Zagrożenia zewnętrzne mają jedną wspólną cechę: nie można ich zapobiec. Można jednak wywrzeć pewien wpływ, będąc dobrze na nie przygotowanym. Firmy, które najlepiej przetrwały kryzys Ever Given, kryzys energetyczny i poważne cyberataki, miały trzy wspólne cechy:
- Dywersyfikacja
Miały alternatywnych dostawców, trasy transportowe i źródła energii. Firmy, które były w stanie szybko przełączyć się na alternatywne trasy lub lokalnych dostawców podczas blokady Suezu, utrzymały niezawodność dostaw – podczas gdy ich konkurenci cierpieli z powodu tygodniowych opóźnień. - Szybkie podejmowanie decyzji
Miały luksus szybkiego wyboru alternatyw. CDK Global, na przykład, stosunkowo szybko się odbudował, decydując się na natychmiastowe zapłacenie okupu i koordynację swojego odzyskania. - Planowanie awaryjne
Pomyśleli o sytuacjach „co by było, gdyby” i wprowadzili konkretne plany awaryjne. To zrobiło różnicę między chaosem a kontrolowaną reakcją.
Jak opisano w poprzednich rozdziałach, przygotowanie zaczyna się od dokładnego zrozumienia własnej organizacji. Dopiero gdy znają Państwo swoje wewnętrzne słabości, mogą skutecznie parować zagrożenia zewnętrzne.
Rozważcie swoje zewnętrzne słabości
- Od jakich międzynarodowych połączeń (transport, energia, dane) są Państwo zależni?
- Jak zakłócenie u Państwa najważniejszego dostawcy wpłynęłoby na produkcję?
- Jakie napięcia geopolityczne mogłyby wpłynąć na Państwa sektor lub region?
- Czy mają Państwo alternatywy dla najważniejszych dostawców i tras?
- Czy lokalizacja Państwa firmy jest podatna na lokalne zjawiska naturalne?
Świat nie staje się mniej skomplikowanym miejscem, geopolityka nie staje się bardziej stabilna, a łańcuchy dostaw nie stają się bardziej odporne. Ale firmy, które inwestują w odporność – poprzez dywersyfikację, planowanie awaryjne i zdolność szybkiego reagowania – mogą nie tylko przetrwać zewnętrzne wstrząsy, ale wyjść z nich jeszcze silniejsze.
Podczas gdy Państwa konkurenci nawigują w chaosie, Państwo już wyznaczyliście kurs do odbudowy.
Czym jest Zarządzanie Ciągłością Działalności?
Zarządzanie Ciągłością Działalności (BCM) to zdolność reagowania na przyczynę zakłócenia i odzyskiwania się z jego następstw. Chodzi nie tylko o posiadanie planu B, ale także o zdolność do jego wykonania.
Definiujemy tutaj zdarzenie jako „incydent, który może spowodować straty i sytuacje kryzysowe” lub jako „zmianę okoliczności, która stanowi zagrożenie dla działalności biznesowej”. W regionie narażonym na trzęsienia ziemi – takim jak na przykład Turcja – trzęsienie ziemi byłoby największym zagrożeniem naturalnym. W Holandii byłaby to powódź, a w ostatnich latach być może nawet susza.
Lista (niewyczerpująca) zdarzeń i sytuacji, które mają poważne następstwa:
- rotacja personelu;
- strajk lub lokaut;
- terroryzm;
- klęski żywiołowe (trzęsienia ziemi, powodzie, susze);
- pożar;
- wadliwe maszyny;
- problemy z łańcuchem dostaw;
- zmiany w prawodawstwie;
- incydenty przetwarzania lub utraty danych.
To wszystko są zdarzenia i sytuacje, które wzmacniają potrzebę planu ciągłości działalności i dobrego przygotowania na nieprzewidziane okoliczności.
BCM nie powinno być grubym podręcznikiem w gabinecie dyrektora, który szczegółowo opisuje wszystkie kroki do podjęcia w przypadku katastrofy. Rzeczywistość ma zwyczaj nas zaskakiwać. BCM z pewnością zasługuje na Państwa uwagę: w firmach produkcyjnych, przemyśle i sektorze usług.
Państwa plan B
Opracowanie takiego planu i podejścia to ciężka praca. Wymaga badań, organizacji, planowania, oceny, ewaluacji, szkoleń, testowania i praktyki. Nie potrzebuje jednak stert i stert papieru.
Ważne jest, aby Państwa plan zapewniał wgląd w procesy pracy, identyfikował procesy krytyczne i określał, jak długo Państwa firma może wytrzymać zakłócenie. Mapowanie krytycznych zależności jest istotną częścią tego procesu. BCM obejmuje trzy podstawowe plany przedstawione poniżej (patrz Rysunek 2).
1. Plan awaryjny
Ochrona ludzi, mienia i środowiska. Aktywowany natychmiast po incydencie. Oprócz spełnienia wymogów prawnych (bezpieczeństwo i higiena pracy), plan ten jest kluczowy dla ciągłości.
2. Plan zarządzania kryzysowego i komunikacji
Chroni wizerunek i reputację oraz służy jako przewodnik w podejmowaniu decyzji. Incydent, który początkowo nie kwalifikuje się jako kryzys, może stać się nim na późniejszym etapie. W dzisiejszym środowisku szybkiej komunikacji i mediów społecznościowych dezinformacja może szybko się rozprzestrzeniać i powodować trwałe szkody.
3. Plan odtworzenia działalności
Określa kolejność, w jakiej działalności są wznawiane, kiedy mają miejsce i jakie zasoby są niezbędne. Celem jest utrzymanie przychodów i udziału w rynku.
Działanie: uruchomienie zespołów
Dobry plan i skuteczne reagowanie na incydenty wymagają kompetentnych zespołów z dobrze zdefiniowanymi rolami i odpowiedzialnościami. Przed, podczas i po zdarzeniu.
Jeśli firmy są właściwie świadome swojej działalności biznesowej i związanych z nią ryzyk (fizycznych, operacyjnych, finansowych itp.) oraz rozumieją, co może powodować zakłócenia biznesowe, będą dobrze przygotowane do szybkiej i skutecznej reakcji.
Ważne: potrzebują Państwo systemu zarządzania ryzykiem
Oprócz planów ciągłości działalności niezbędny jest również system zarządzania ryzykiem. Skuteczny system można skonfigurować, stosując cykl „Planuj-Wykonaj-Sprawdź-Działaj”.
Ponadto możliwe jest również zintegrowanie wszystkich działań ciągłości biznesowej z istniejącymi systemami zarządzania w firmie i certyfikowanie ich przez niezależną stronę. Można to następnie wykorzystać do uzyskania certyfikacji ISO 22301 (Bezpieczeństwo społeczne – Systemy zarządzania ciągłością działalności – Wymagania), która czasami jest wymaganiem klientów.
Wsparcie
To, co dzieje się po zakończeniu tych działań, jest prawdopodobnie najważniejszym krokiem w całym procesie. Powstały system musi zostać przyjęty przez organizację oraz utrzymywany i aktualizowany w długim okresie. Ponadto musi być systemem żywym i ważne jest, aby okresowo ćwiczyć procesy i procedury w oparciu o realistyczne scenariusze.
Jak w przypadku wszystkich systemów zarządzania, największym czynnikiem sukcesu jest przejęcie przez kierownictwo wyższego szczebla własności procesu, wspieranie go, zaangażowanie się w niego, a następnie przydzielenie niezbędnych zasobów (czas, personel i budżet).
Co może zrobić dla Państwa Zarządzanie Ciągłością Działalności?
Organizacje, które traktują ciągłość biznesową poważnie i inwestują w nią, zostaną nagrodzone znacznymi korzyściami.
Korzyści z przemyślanego planu B są większe, niż mogliby Państwo początkowo oczekiwać. Rozważcie na przykład:
- wzmocnienie wizerunku i reputacji
- utrzymanie sprzedaży, rentowności i udziału w rynku
- unikanie utraty klientów
- uzyskanie przewagi konkurencyjnej
- zgodność z wymogami prawnymi i regulacyjnymi
- ochrona praw interesariuszy
- uzyskanie lepszych warunków na rynku ubezpieczeniowym
- uznanie mocnych i słabych stron firmy
- zwiększenie elastyczności w łańcuchu dostaw (zarówno w górę, jak i w dół strumienia)
- zmniejszenie przerw w łańcuchu dostaw
Przykłady ryzyka, które przedstawiliśmy w tym dokumencie, mogą prowadzić do niepożądanych następstw dla firm. Dlatego ważne jest posiadanie niezbędnej infrastruktury i tym samym dobre przygotowanie na niepożądane zdarzenia. W ten sposób można zminimalizować te następstwa.
Podejście Riskonet
W poprzednich rozdziałach zajmowaliśmy się tym, jak ciągłość biznesowa zaczyna się od samoświadomości i zarządzania słabościami. Ale jak te spostrzeżenia powinny zostać wprowadzone w praktykę? I co odróżnia skuteczne BCM od zwykłego zaznaczania pól zgodności?
Riskonet zgromadził lata doświadczenia z Analizami Wpływu na Biznes, które ujawniają nieoczekiwane zależności. Podczas gdy wiele projektów BCM zaczyna od sporządzania planu, Riskonet zaczyna od pytania, czego firma naprawdę potrzebuje, aby stać się odporna.
Analiza Wpływu na Biznes: od niespodzianek do spostrzeżeń
Podejście rozpoczyna się od mapowania całego łańcucha produkcyjnego: przepływów towarów, wolumenów, wskaźników wykorzystania i zapasów. Poprzez powiązanie przepływów pieniężnych z łańcuchem produkcyjnym, powstaje kompleksowy obraz finansowych konsekwencji incydentów.
Oto przykład ilustrujący. Firma zainwestowała kilka lat w bezpieczeństwo działu, który produkował kluczowy surowiec wykorzystywany w różnych produktach końcowych. „Nasza analiza wykazała, że ten surowiec można było stosunkowo łatwo i bez dodatkowych kosztów pozyskać gdzie indziej” – mówi starszy konsultant Gerrit Vink. „Innymi słowy, te zainwestowane lata nie były tak naprawdę konieczne. Odkryliśmy również, że nie ma alternatyw dla produkcji niektórych produktów końcowych. Aby podkreślić ciągłość działalności, firma lepiej by zrobiła, inwestując w dodatkowe środki w tych lokalizacjach.”
Planowanie scenariuszy
Riskonet przeprowadza wizyty na miejscu i wywiady w celu zmapowania krytycznych procesów, współzależności i potencjalnych scenariuszy szkód. Obejmuje to scenariusze najgorsze z możliwych bez rozwiązań awaryjnych, a także scenariusze realistyczne, wraz z wewnętrznymi i zewnętrznymi alternatywami. Ustalamy odpowiednie scenariusze szkód dla każdej lokalizacji i mapujemy wpływ, jaki konkretny scenariusz będzie miał na inne jednostki biznesowe.
Podejście do standardów takich jak ISO 22301 jest pragmatyczne. Są one narzędziami, a nie celami samymi w sobie. Certyfikacja może być z pewnością opłacalna, ale tylko wtedy, gdy dana firma widzi w niej wartość dodaną. Zarządzanie ryzykiem nie jest statycznym konceptem; to dynamiczny proces, który nigdy nie powinien się zatrzymać. Zarządzanie ciągłością jest częścią tego procesu i wymaga ciągłej uwagi oraz dostosowywania do zmian.
Studia przypadków przedstawione w tym białym papierze — od wewnętrznych pożarów po międzynarodowy sabotaż — pokazują, że nieoczekiwane zdarzenia naprawdę się zdarzają. Skuteczne przygotowanie wymaga więcej niż tylko wypełniania szablonów czy przechodzenia audytów.
Skuteczne BCM osiąga się, gdy organizacje naprawdę rozumieją swoje słabe punkty, opracowują realistyczne plany odzyskiwania i regularnie testują oraz dostosowują te plany. To kompetencja nabywana kumulatywnie, a nie projekt polegający na odhaczaniu punktów.
Siła Analizy Wpływu na Biznes
Aby określić znaczenie możliwych szkód biznesowych, przeprowadzono Analizę Wpływu na Biznes u producenta substytutów mięsa.
Oprócz dostarczenia raportów finansowych potrzebnych do ubezpieczenia, krytyczne pytania ujawniły również, że dwie lokalizacje producenta były bardzo od siebie zależne. Co więcej, okazało się, że w praktyce surowce, które powinny być łatwo zastępowalne, powodowały duże problemy, gdy regularni dostawcy nie byli w stanie dostarczyć. Wykorzystanie alternatywnych surowców wymagałoby zmodyfikowania receptury, co skutkowałoby produktem końcowym, którego nie można dostarczyć wszystkim klientom.
Na podstawie Analizy Wpływu na Biznes producent uzyskał dodatkowe pokrycie finansowe i zdecydował się na strategiczne gromadzenie zapasów krytycznych surowców.
Z przyjemnością doradzimy Państwu w zakresie Zarządzania Ciągłością działalności oraz innych usług doradczych i szkoleniowych. Wystarczy wysłać e-mail na adres [email protected]. Sprawdź wszystkie formy naszych zintegrowanych usług na www.riskonet.com
Czy to zbyt skomplikowane i chcieliby Państwo profesjonalnego wsparcia?
Jeśli chcieliby Państwo zidentyfikować ryzyka, na które narażona jest Państwa firma, lub uzyskać poradę, jak optymalnie zagwarantować ciągłość działalności, prosimy o kontakt z Özlem Emgen lub Volkerem von Widdernem (bez zobowiązań). Z przyjemnością pomożemy.
Źródła
ISO 22301 Bezpieczeństwo społeczne
Systemy zarządzania ciągłością działalności – Wymagania
www.munichre.com
www.swissre.com/dam/jcr:c37eb0e4-c0b9-4a9f-9954-3d0bb4339bfd/sigma2_2019_en.pdf
Ever Given/blokada Kanału Sueskiego (marzec 2021)
Zakłócenie globalnego łańcucha dostaw.
www.bbc.com/news/business-56559073
Sabotaż Nord Stream (wrzesień 2022)
Zakłócenie dostaw energii do UE, w tym konsekwencje dla BASF i Yara.
www.reuters.com/business/energy/what-we-know-about-nord-stream-gas-leaks-2022-09-27/
Atak cybernetyczny na CDK Global (2024)
Poważne awarie u amerykańskich dealerów samochodowych.
www.nytimes.com/2024/06/20/business/cdk-cyberattack-car-dealers.html
Atak cybernetyczny na Change Healthcare (2024)
Zakłócenie płatności w służbie zdrowia w USA.
www.wsj.com/articles/change-healthcare-cyberattack-2024-impact
Atak ransomware na Marks & Spencer
Co mogę kupić online w M&S po ataku hakerskim?
www.bbc.com/news/articles/c0el31nqnpvo
Sabotaż infrastruktury podmorskiej na Morzu Bałtyckim (2024)
Uszkodzenia kabla Estlink 2 i kabla telekomunikacyjnego, podejrzenia padają na Rosję.
www.politico.eu/article/baltic-sea-subsea-cables-estlink-damage-sabotage/
Zastrzeżenie
To jest publikacja Riskonet. Żadna jej część nie może być reprodukowana, przechowywana w systemie wyszukiwania ani przekazywana w jakiejkolwiek formie lub w jakikolwiek sposób, czy to elektroniczny, mechaniczny, drukowany, kopiowany czy inny, bez uprzedniej pisemnej zgody Riskonet.
Wyraźnie zabrania się wykorzystywania tej publikacji, w całości lub w części, do szkolenia systemów sztucznej inteligencji, modeli uczenia maszynowego lub jakichkolwiek innych zautomatyzowanych aplikacji bez uprzedniej pisemnej zgody Riskonet.