Publikacja wartościowsza niż standard ISO
Kolejna wartościowa publikacja
Jakiś czas temu, jedna z form konsultingowo-doradczych poszukiwała kandydatów na stanowisko eksperta / konsultanta w dziedzinie zarządzania ciągłością działania. Wśród wymagań pojawił się zapis dotyczący znajomości standardu (normy) ISO 22301 czyli „Security and resilience – Business continuity management systems – Requirements”. Dość oczywisty to zapis, trudno bowiem funkcjonować w tej dziedzinie nie znając podstawowych dokumentów – jakie by one nie były.
Problem niestety w tym, że to było jedyne wymaganie dotyczące znajomości standardów, wytycznych, dobrych praktyk czy wręcz przepisów prawa. Trzeba sobie w tym miejscu postawić pytanie: czy znajomość standardu ISO 22301 daje wystarczającą wiedzę w zakresie projektowania i wdrażania systemu zarządzania ciągłością działania?
Przywoływany standard, w wersji z roku 2019 liczy raptem 21 stron. Jeżeli odliczymy od tego treść (opis modelu PLAN-DO-Check-ACT) powielaną we wszystkich standardach ISO dotyczących zarządzania to pozostaje nam mniej niż 20 stron.
Zatem, czy znajomość 20 stron tekstu … albo inaczej, czy 20 stron formatu A4 daje kompletną i wystarczającą wiedzę pozwalającą na stworzenie– na przykład – w firmie zatrudniającej 10 tysięcy ludzi w 10 lokalizacjach sprawnego i skutecznego systemu BCM (Business Continuity Management)? Naszym zdaniem odpowiedź brzmi : NIE!
Postawmy inne pytanie: czy z treści normy ISO 22301 można w ogóle nauczyć się zarządzania ciągłością działania?
I znów, odpowiedź brzmi NIE!
Potwierdzenie takiego stanowiska znajdziemy zresztą w tytule standardu: „…-Requirements” czyli „…-Wymagania”. A wymagania to nic innego jak odpowiedź na pytanie CO? A to może być trochę za mało. W procesach tworzenia systemów zarządzania ryzykiem (oraz odpornością i ciągłością działania) o wiele ważniejsze – z praktycznego punktu widzenia – jest poszukiwanie odpowiedzi na pytania: Jak? Kiedy? Gdzie? Kto?. Organizacje różnią się od siebie i ogólny model – nawet o cechach uniwersalnych – nie zapewnia sukcesu. Dlatego projektując i budując system zarządzania ciągłością działania powinno się poszukiwać rozwiązań praktycznych.
Polecamy naszym Czytelnikom poszukiwanie bardziej zaawansowanych publikacji. Jedną z tych, które wzbudziły nasze zainteresowanie jest „Guide to Business Continuity & Resilience” – publikacja firmy Protivity z września bieżącego roku. Jest to 4 wydanie, zaktualizowane o zagadnienia związane z pandemią COVID-19.
Nie jest naszym zamiarem streszczanie publikacji ale jeżeli napiszemy, że liczy ona 89 stron (więcej niż ISO 22301) i zawiera odpowiedzi na 84 pytania (od podstawowych do bardziej specjalistycznych) to może się okazać, że będzie to wartościowa lektura dająca nieco szersze spojrzenie na problematykę ciągłości działania niż ISO 22301. Oczywiście, ta publikacja zasadniczo odnosi się do warunków amerykańskich (wymagania prawne i regulacyjne) ale wiele elementów jest przydatnych w warunkach polskich.
Oczywiście, sam standard ISO 22301 i jemu towarzyszące w serii „Security and resilience” powinny być znane nie tylko ekspertom (konsultantom) ale i członkom kierownictw firm i instytucji a także – co oczywiste – osobom odpowiedzialnym funkcjonalnie za mechanizmy zarządzania ryzykiem.
Nie ma górnej granicy wiedzy.
