Zarządzanie kryzysowe, a… zarządzanie kryzysowe (6 różnic)

By 13 marca 2018Blog

Już niebawem w „GigaCon szkolenia” kolejna edycja szkolenia z zarządzania kryzysowego. Myślę, że tym razem zmienimy podejście i skupimy się na kwestiach nie tyle zarządzania kryzysowego, rozumianego jako „tu i teraz”, a dużo bardziej odniesiemy się do kwestii zarządczych w kryzysach.

Dlaczego tak?

Od samego początku od kiedy prowadzę te szkolenia w Polsce, czyli od 2015 roku, oparte jest on między innymi o standard brytyjski BS 11200:2014 Crisis Management – Guidance and Good Practice (Zarządzanie kryzysowe – przewodnik i dobre praktyki). Jest to jeden ze standardów z „triady” standardów bezpieczeństwa (to moja własna nazwa), wydanych przez British Standards Institution. Na triadę składają się:

  • BS 11200 – traktujący o zarzadzaniu kryzysowym;
  • BS 65000 – traktujący o odporności organizacji (Business Resilience)
  • BS 16000 – traktujący o strategicznym i operacyjnym zarządzaniu bezpieczeństwem.

Wszystkie one wskazują na zupełnie inne rozumienie bezpieczeństwa dziś, niż to było jeszcze trzy lata temu. Przypomnę co się zmieniło

W normach ISO (ale też i BS – własnych) wprowadzana jest koncepcja myślenia i działania opartego o ryzyko. Najbardziej odczuwalną zmianą jest konieczność zmiany podstawy systemów zarządzania jakością opartych o ISO 9001 i systemów zarządzania środowiskowego opartych o ISO 14001, obie zmiany to jesień. Spora zmiana nadchodzi też w kontekście bezpieczeństwa i higieny pracy, w której OHSAH i PN zastąpi w końcu jedna norma, globalna – ISO 45001.

Drugim obszarem, który zaczyna przybliżać nam kwestię myślenia i działania opartego o ryzyko, jest RODO/GDPR, które jako regulacja jest obowiązkowa. Znów, jako koncepcja wiodąca pojawia się myślenie i działanie oparte o ryzyko i dość analogicznie, jak w przypadku systemów zarządzania zgodnych z ISO – to na zarządzającym (tu ADO) spoczywać będzie kwestia wykazania zgodności, ale nie poprzez stworzenie dokumentów i ich wdrożenie, a pokazanie pewnych rozważań o ryzyku, czasem analiz w pełnej, udokumentowanej formie, a czasem w postaci innych „udokumentowanych informacji” (to nowy termin z wymagań ISO).

To był rozwój ISO jakościowych, środowiskowych czy bezpieczeństwa informacji (w tym danych osobowych), którego brakowało do pełnego zrozumienia, czym naprawdę jest zarządzanie kryzysowe.

BS 11200 wydany został w 2014 roku, a więc nieco wcześniej niż obecne rewizje ISO czy RODO. Przez te kilka lat był nieco zawieszony w próżni, bo wymagał wyjścia nieco dalej poza horyzont powszechnie rozumianego zarządzania kryzysowego, najczęściej błędnie osadzanego w planach ciągłości działania. A niestety, w większości zarządzanie kryzysowe rozumiane było (i czasem jest), jako coś, co się zaczyna przy prognozowanym naruszeniu czasów dopuszczalnych przestojów/zakłóceń procesu głównego (MTPD, MAO, BIL – zależnie od standardu, rozwiązania, etc). A kończy po wznowieniu, czy przywróceniu działania czy usunięciu zakłóceń. Czyli klasyka zarządzania ciągłością działania

A tymczasem…

Tym artykułem chcę otworzyć cykl i może dyskusję, związaną z rozumieniem kryzysu jako czegoś, co trwa jakiś czas. Nie będę powtarzał wszystkich artykułów na temat zarządzania kryzysowego jakie napisałem. Ale z pewnością kilka przypomnę, w konkretnych wpisach.

Różnica 1 PRZEWIDYWALNOŚĆ

Na dziś pierwsza różnica w rozumieniu kryzysu. Rozumienie tego „tu i teraz” określam mianem INCYDENTU (za BS 11200).

Incydent co do zasady jest przewidywalny i można nim zarządzać (rozwiązać) za pomocą predefiniowanych rozwiązań, zawartych w procedurach choć ich specyficzny czas, charakter czy konsekwencja (skutek) mogą się różnić w szczegółach (detalach).

I to jest mniej więcej to co można wyczytać w procedurach reagowania kryzysowego. Co do zasady jest sposób uruchomienia sił i środków, coś co mnie w Polsce zawsze urzeka – cudowne i pozytywne zakończenie (też ćwiczeń). Bez głębszego zastanowienia się, że sytuacje idealne nie istnieją.

Przykład

Swego czasu, będzie już chyba z 6 lat, w trakcie audytu na jednej z fabryk na południu Polski sprawdzaliśmy również procedury kryzysowe. Tak, tak samo kiedyś używałem określenia zarządzanie kryzysowe i tez osadzałem je w systemach ciągłości działania. Pokazano nam 600 procedur. Jednej mi brakowało, zasilania awaryjnego, automatycznego dla jednej z linii. Bardzo wrażliwa na brak napięcia (cechy cyklu produkcyjnego). Pamiętam, jak dyrektor zakładu powiedział, że nie ma potrzeby, bo mają nową linię energetyczną i „się nie zdarza”. Ale się zdarzyło… 2 tygodnie później. 601 procedury nie było. Straty liczone w milionach. 

Dlatego warto czasem pomyśleć, że jednak szafa procedur jest fajna, na zdarzenia przewidywalne, z dość przewidywalnym rozwojem sytuacji, zarówno co do sposobu rozwoju incydentu, jak i dostępności sił i środków do poradzenia sobie z nim.

A co jeśli nie?

Kryzys jest wyjątkowym, nieprzewidzianym, często źle zarządzanym wydarzeniem lub kombinacją wydarzeń, które tworzą dla organizacji wyjątkowe wyzwania. Z tego powodu kryzys jest trudno zarządzalny przez wcześniej zdefiniowane plany i procedury.

Ładnie prawda? Pojawia się np. źle zarządzane wydarzenie. Zawsze mam w pamięci Czarnobyl, jako doskonały przykład obrazujący tę różnicę między incydentem, a kryzysem. Dobrze zarządzony (odstąpienie od testowania) incydent zakończył by się… pewnie naganą. Źle zarządzony poszedł dużo dalej. Nawet dużo za daleko.

Resilience – a zarządzanie kryzysowe

O odporności i trwałości organizacji (business resilience) pisałem zaraz po konferencji w Londynie, chyba 2015 rok. Uważnie analizując już tą pierwszą różnicę widać chyba, dlaczego nowe podejście jest bliższe tworzeniu organizacji „resilient” (odpornych, a przez to trwałych – przepraszam za anglojęzyczne określenia, ale sam termin jest trudny do przetłumaczenia na jedno słowo). Zarządzanie kryzysowe według standardu jak widać przewiduje już kwestie podejmowania decyzji. Co moim zdaniem jest dużo bliższe źródła słowa kryzys. W zależności od źródeł będzie to:

  • Decyzja – tylko nie taka zwykła, codzienna. A bardziej o charakterze o bardzo poważnych skutkach. Pasuje prawda? Jak mamy ograniczone zasoby, nie wiemy za bardzo co się dzieje, to decyzje… są dość wpływające na całość organizacji (nie tylko, bo też funkcjonowania miast, czy życia codziennego).
  • Punkt przełomowy – czyli coś, co mi zawsze się z kryzysem kojarzy. Już nic nie będzie takie samo.

O tym, czy należy kryzys postrzegać tylko jako coś pejoratywnego, złego, już niebawem. Bo to kolejna różnica.

Podsumowanie

Właśnie uświadomiłem sobie, że o tym już mówiłem… nie tylko na szkoleniach. W 2015 roku, na jesieni prowadziłem wykład w trakcie konferencji BSI Polska w Jachrance. Tytuł wystąpienia brzmiał: Ocena zdolności organizacji do zarządzania kryzysowego. Wykład oparty był o projekt standardu nad którym pracowaliśmy (w ramach współpracy z BSI, biorę udział w opracowywaniu niektórych standardów, w tym również ISO). Zastanawiające było to, jak wiele osób było zaskoczonych nie tylko różnicami, ale też i sensownością „nowej definicji zarządzania kryzysowego” – jak mi przy obiedzie powiedział prezes jednej firm energetycznych (państwowych).

Wiem, że tamten wykład wywołał spore poruszenie w branży (nie na wykładzie, tu miałem ciszę tak dużą, że sprawdzałem, czy uczestnicy nie śpią… nie spali). Więc liczę też na to, że cykl artykułów wywoła nie mniejsze dyskusje i próby nowego zdefiniowania działania nazywanego „zarządzaniem kryzysowym”. Bo na odbudowie nie kończy się kryzys. Potrafi wywołać skutki… też pozytywne,. Ale to już następnym odcinku.

 

Kontakt w sprawie szkolenia Zarządzanie Kryzysowe w praktyce:
Marlena Zaręba
Tel. komórkowy: 600-811-803
e-mail: zareba.marlena@gigacon.org

Link do szkolenia: http://gigacon.org/event/zarzadzanie-kryzysowe-w-praktyce/

Trwają prace nad modernizacją strony – przepraszamy za niedogodności i prosimy o wyrozumiałość :)