Každá organizace, která chce dlouhodobě obstát, musí mít připravený robustní systém zvládání krizových situací. Ten se nazývá systém managementu kontinuity podnikání (BCM — Business Continuity Management).
V posledních letech čelí podniky, instituce i veřejná správa nebývalému množství hrozeb, které mají potenciál ochromit jejich činnost. Migrační krize, ozbrojené konflikty, energetické hrozby v podobě rozsáhlých blackoutů, extrémní klimatické jevy, kybernetické útoky či technologické výpadky — to vše se stává realitou, nikoli jen hypotetickým scénářem. V takovém prostředí už nepostačí spoléhat se na improvizaci.
Systém managementu kontinuity podnikání
Na zvládnutí dopadů nežádoucích událostí je zaměřena část managementu organizace označovaná anglickou zkratkou BCM. Jde o plánování a řízení takovým způsobem, aby činnost organizace pokračovala i v případě narušení a aby bylo možné obnovit klíčové procesy v přijatelném čase a na nezbytné úrovni. Narušení, se kterými se organizace setkávají, přitom mohou mít mnoho podob. Často si uvědomujeme přírodní pohromy: požáry, povodně nebo vlny extrémního počasí. Ty mohou poškodit infrastrukturu a znemožnit přístup do provozoven. Do stejné kategorie ale patří také události, které známe z posledních let: pandemie, válečné konflikty nebo náhlé přerušení dodavatelských řetězců. Technologická rovina pak zahrnuje výpadky softwaru a hardwaru, kolapsy sítí, ztrátu či zničení dat nebo dlouhodobou nedostupnost energie. A v neposlední řadě hrozí rizika spojená s lidským faktorem: chyby, podvody, krádeže či sabotáže. Všechny tyto faktory mohou mít zásadní dopady na chod organizace a v krajním případě ohrozit její existenci. Smyslem BCM je tyto dopady minimalizovat. Toho se dosahuje kombinací prevence, připravenosti a schopnosti reagovat. Základním nástrojem je analýza dopadů do činností (podnikání), která umožňuje zjistit, jaké procesy jsou pro organizaci kritické, které činnosti je nezbytné obnovit jako první a v jakém čase. Na základě toho se stanoví strategie a postupy, které se promítnou do konkrétních plánů — záložních scénářů, havarijních opatření a krizových protokolů.
ISO 22301 — mezinárodní standard pro BCM
Norma ISO 22301 je určena organizacím soukromého i veřejného sektoru bez ohledu na jejich velikost. Pod pojmem „business“ se nerozumí pouze obchodní podnikání, ale obecně kontinuita činností. Proto je aplikovatelná nejen na výrobní podniky a sektor služeb, ale též na organizace z veřejného sektoru. Struktura normy je harmonizovaná s ostatními ISO standardy pro systémy managementu, což usnadňuje její implementaci tam, kde je již zaveden systém managementu kvality ISO 9001) či informační bezpečnosti (ISO/IEC 27001). Klíčovým požadavkem ISO 22301 je systematické posuzování rizik a analýza dopadů na činnost. Výstupy z těchto kroků umožňují organizaci připravit strategie, jak se chovat před, během i po narušení. Norma dále zahrnuje povinnosti v oblasti dokumentace, interních auditů, monitorování výkonnosti, přezkoumání vedením i neustálého zlepšování. Důležitou roli hrají zaměstnanci — každý musí vědět, co má v krizové situaci dělat, kdy a kde jednat a kdo nese odpovědnost. Proto se klade důraz na školení, cvičení a testování. Významnou roli mají i specifické pozice, jako jsou interní auditoři BCM, kteří musejí znát normu i doporučené auditní postupy, a manažeři systému BCM zodpovídající za jeho fungování v celé šíři. V praxi to znamená, že organizace má jasně určené scénáře, definované priority, rozdělené role a vyzkoušené plány.
Naléhavost v době globálních hrozeb
Pokud někdy byla potřeba BCM spíše teoretická, dnes je zcela reálná. Konflikty v Evropě a jejím okolí ukázaly, jak rychle může dojít k narušení dostupnosti energií, surovin a logistiky. Přírodní katastrofy v nedávné době znovu potvrdily, že klimatická rizika nejsou vzdálenou hrozbou, ale každoroční realitou. Energetické blackouty a kybernetické útoky na kritickou infrastrukturu navíc patří mezi scénáře, s nimiž počítají i státní orgány. Organizace, které nemají plán, jsou odkázány na improvizaci. Ta však obvykle přináší vyšší náklady, ztrátu reputace a ohrožení zákaznických vztahů. Naopak organizace, které mají certifikovaný systém managementu kontinuity podnikání, dokážou reagovat včas, chránit majetek i lidi, udržet si zákazníky a minimalizovat nutnost nákladného krizového řízení. V mnoha sektorech se stává certifikace ISO 22301 konkurenční výhodou — zákazníci, dodavatelé i veřejní zadavatelé totiž stále častěji vyžadují, aby jejich partneři měli ověřenou připravenost na krizové situace.
Praktická implementace a přínosy
Zavedení systému managementu kontinuity podnikání není jednorázovou administrativní záležitostí. Vyžaduje podporu vedení, projektový přístup a zapojení vlastníků klíčových procesů. V první fázi se obvykle provádí tzv. „gap analýza“ [tzv. analýza mezer; gap = mezera — pozn. red.], která ukáže, jak daleko je organizace od požadavků normy. Následuje analýza dopadů do podnikání a posouzení rizik. Na jejich základě se formulují strategie a postupy, které se přetvoří do konkrétních plánů — ať už jde o záložní servery, náhradní pracoviště, alternativní dodavatele, nebo komunikační protokoly. Zcela zásadní je však praktické ověřování. Školení zaměstnanců a simulace krizových scénářů odhalují slabiny a umožňují včas upravit plány. V krizových situacích totiž není čas na hledání složitých manuálů. Dokumentace musí být přehledná a dostupná, role jasně rozdělené a reakce nacvičené. Fungující BCM přináší organizaci několik zásadních výhod: V první řadě zajišťuje odolnost a rychlou obnovu provozu. Dále posiluje důvěru zákazníků a partnerů, kteří mají jistotu, že i v případě krize budou jejich potřeby pokryty. Organizace s certifikací ISO 22301 působí jako spolehlivější partneři a v mnoha případech se jim otevírají nové příležitosti, které by bez certifikace nezískaly. V neposlední řadě BCM zajišťuje efektivnější řízení rizik, nižší náklady při krizích a lepší připravenost na legislativní či smluvní požadavky.
Závěr
Business Continuity Management není pouhým doplňkem moderního managementu, ale základním pilířem odolnosti organizace. Norma ISO 22301 poskytuje jasný rámec, jak systém vybudovat, udržovat a neustále zlepšovat. V České společnosti pro jakost nabízíme certifikaci podle normy ISO 22301, která prokáže shodu a potvrdí, že je vaše organizace schopna zajistit i ty nejzávažnější krize. /Petr Koten/
