Na téma systému managementu kontinuity podnikání jsme hovořili s výkonným ředitelem České společnosti pro jakost Ing. Petrem Kotenem. Česká společnost pro jakost sdružuje jednotlivce i organizace, které se zabývají zejména nástroji a systémy managementu kvality a příbuznými oblastmi, ke kterým patří i systémy managementu kontinuity podnikání.
Mohl byste přestavit pojem systém managementu kontinuity podnikání? Stručně řešeno, BCM (business continuity management) je částí managementu organizace zaměřenou na zvládnutí dopadů případných nežádoucích situací — takzvaných narušení, která mohou organizaci postihnout. Tím zvládnutím je míněno zajištění kontinuity činností a obnovu narušených činností na požadovanou minimální úroveň.
Jaké jsou příčiny toho, že vzniknou nežádoucí narušení? Existuje mnoho druhů příčin vzniku narušení, se kterými se setkáváme dnes a denně. A asi všichni vnímáme, že se tak děje čím dál častěji. Jednou z příčin mohou být například přírodní pohromy, kam patří mj. požáry a povodně. Ty mohou ovlivnit například možnost fyzického přístupu do provozovny, v horším případě pak i zničení firemní infrastruktury. A právě systémy managementu kontinuity podnikání nám umožňují snadněji nežádoucí situace zvládat a hlavně jim i lépe předcházet.
Jaké mohou být, vedle vámi zmíněných požárů či povodní, další druhy příčin nežádoucích narušení? Bohužel jsme měli všichni příležitost pocítit a pociťujeme nežádoucí vlivy globálního charakteru, mám na mysli vlivy epidemie, zprostředkovaně i dopady války. Z užšího, technologického pohledu se můžeme setkat s kybernetickými útoky, se selháním softwaru či hardwaru, výpadky energie, ztrátou či zničením dat. Nelze opomenout ani lidské vlivy, kam mohou patřit záměrné podvody, krádeže, ale i tzv. lidské chyby. A dalším typem narušení může být náhlé selhání dodavatelů či celých logistických řetězců. To vše má potenciálně negativní dopady do kontinuity — hladkého chodu našeho podnikání, našich činností.
Vaše organizace byla akreditována pro certifikaci systému managementu kontinuity podnikání podle normy ISO 22301. Můžete stručně charakterizovat, co tato norma požaduje? Nejdříve bych rád uvedl, že norma je určena pro organizace soukromého i veřejného sektoru bez ohledu na velikost organizace. Norma má v názvu kontinuita podnikání, ale chápejme tento pojem v obecnější rovině jako kontinuitu činností, ať v soukromém, či veřejném sektoru. Pro úplnost bych rád uvedl, že struktura normy je harmonizovaná s ostatními normami pro systémy managementu, což usnadňuje zavádění jejích požadavků spolu s dalšími normami, její udržování i zlepšování. A nyní k vlastním požadavkům normy. Z mého pohledu k těm klíčovým patří posuzování rizik souvisejících s narušením činnosti organizace a dále analýza dopadů do podnikání. V této souvislosti je známá anglická zkratka BIA (business impact analysis). Ta nám umožní, mimo jiné, určit prioritní činnosti, které musí být chráněny proti narušení, a v případě, že nastane, je nutné je obnovit v požadovaném čase na potřebnou úroveň. Jinak řečeno: vím, co mi hrozí a jaké procesy potřebuji chránit. Na základě výstupů z posuzování rizik a analýzy dopadů do podnikání pak organizace stanovuje svoje strategie, postupy a řešení, jak se chovat před, během a po narušení. Samozřejmě norma obsahuje systémové požadavky, které běžné známe z jiných systémových ISO norem, jako je například vymezení systému, pravidla pro řízení dokumentovaných informací, provádění interních auditů, monitoring výkonnosti, přezkoumání vedením či zlepšování.
Jsou kladeny nějaké zvláštní požadavky na pracovníky? Pracovníci by si měli být zejména vědomi svých rolí a odpovědností v rámci systému kontinuity podnikání. Jinak řečeno, musí vědět, co mají dělat, pokud určitá nežádoucí situace nastane. Je třeba znát odpovědi na zcela konkrétní otázky: Kdo má konat? Co má konat? Kdy / / za jakých podmínek má konat? Kde má konat? Rovněž by měli být relevantní pracovníci zapojeni do programu nácviku a testování potřebného pro zachování kontinuity činností. V rámci BCM jsou však další specifické role, například interní auditor BCM, který by měl znát BCM systém organizace a pak normu ISO 22301 a doporučené auditní postupy, ideálně dané doporučující normou ISO 19011. A samozřejmě osoba odpovědná za celý systém, manažer či představitel, by pak měla detailně znát normu ISO 22301 a související principy.
Jaké výhody fungujícího systému managementu kontinuity podnikání byste zdůraznil? To, že se podaří včas řešit narušení chodu organizace, má pozitivní vliv zejména ve vztahu k zákazníkům, kdy jsme schopni nadále plnit svoje závazky vůči nim a udržovat si tak i naši důvěryhodnost a obchodní vztah. Pravidla a včasná reakce nám rovněž umožňují efektivně chránit majetek i osoby a minimalizují nutnost improvizace v krizových situacích, neboť již dopředu máme připraven a odzkoušen záložní plán.
Co byste závěrem doporučil organizacím, které plánují systém managementu kontinuity podnikání zavést? Především je třeba získat podporu vedení, neboť zavedení tohoto systému zpravidla vyžaduje zavedení nových postupů a realizaci změn. Zavádění by mělo být prováděno projektových způsobem, tj. v týmu pod vedením zkušeného projektového manažera. Členové týmu by měli mít povědomí o principech BCM a měli by mezi nimi být i vlastníci klíčových — prioritních — procesů. A samozřejmě je vhodné zvážit možnost ověření funkčnosti systému BCM nezávislou certifikací podle normy ISO 22301.
/David Kubla/