Odporność organizacji (RESILIENCE)

Dziś w artykule:

• Wprowadzenie do resilience, na podstawie dwóch standardów (ISO i BS);
• Dlaczego do dziś tak trudno jest o “resilience”;
• Trwałość, odporność, czy…?
• Prognoza rozwoju “business resilience”.

I oczywiście wątek COVID 19 i wirusa SARS-CoV-2. 

Ewolucja systemów

Obserwując rozwój i nieco pracując nad standardami związanymi z bezpieczeństwem w ujęciu strategicznym zauważam dwa nurty, które ewoluują czy też rozwijają się w samodzielnie. Są to:

• Systemy dość precyzyjnie zaplanowane, często w oparciu o dane historyczne. Zawierają mierniki i wskaźniki. Np. maksymalne dopuszczalne czasy przestoju, czy czasy wznowienia działania. 
• Systemy, które nie posiadają mierników. Te są tworzone w trakcie działania. Np. systemy zarządzania kryzysowego, poza strukturami BCMS (business continuity management systems). Czyli takie rozwiązania, które dotykają istoty prawdziwego kryzysu, nie tylko incydentu czy sytuacji kryzysowej. 

Czym jest odporność?

Zanim przejdę do próby zidentyfikowania problemów związanych z wdrożeniem koncepcji organizacji odpornej i trwałej, kilka definicji z wyjaśnieniem. Czym tak naprawdę jest resilience. 

BS 65000:2014

Opis wskazujący na typ organizacji i jej cechy oraz cel budowania odporności:

Odporność to strategiczny cel mający pomóc organizacji przetrwać i prosperować. Bardzo odporna organizacja jest również bardziej elastyczna, konkurencyjna, zwinna i odporna niż organizacje mniej odporne.

Oraz druga część, dotycząca już wskazania, że odporność jest zdolnością całej organizacji:

Odporność organizacyjna to zdolność organizacji do przewidywania, przygotowywania się, reagowania i dostosowywania się do wszystkiego, od drobnych codziennych zdarzeń po ostre wstrząsy i zmiany chroniczne lub przyrostowe.

ISO 22316 wersja z 206 roku z prac nad standardem

W tym standardzie skupiono się bardziej nad podejściem z punktu widzenia zdolności organizacji oraz pośrednio nad celem:

Odporność organizacyjna to zdolność organizacji do reagowania i dostosowywania się do zmian. Odporność umożliwia organizacjom przewidywanie i reagowanie na zagrożenia i szanse wynikające z nagłych lub stopniowych zmian w ich kontekście wewnętrznym i zewnętrznym. Zwiększenie odporności powinno być strategicznym celem organizacyjnym.

Podobnie jak standard brytyjski, tak norma ISO wskazuje, że odporność nie jest specjalnie wydzielonym zakresem działania na sytuacje dramatyczne. Wręcz przeciwnie, nabywanie odporności organizacyjnej polega na stopniowym “uczeniu się” organizacji nawet na drobnych sprawach codziennych. 

Odporność organizacyjna jest pojęciem względnym i dynamicznym, a nie konkretnym działaniem lub ustalonym stanem. Czynniki zwiększające odporność organizacji są unikalne dla każdej organizacji. Organizacje mogą być mniej lub bardziej odporne i nie ma absolutnej miary ani ostatecznego celu.

Wskazana została tutaj pewna charakterystyka odporności, którą rozwinę w omówieniu przykładowych miar w analizie BIA (business impact analysis – analizy wpływu na biznes), która moim zdaniem idealnie obrazuje temat. 

Dlaczego trudno wdrażać koncepcje “resilience”?

Przyczyn zaobserwowałem i zdefiniowałem kilka. Pierwsze z nich już gdzieś mgliście przewijały mi się przez myśl w trakcie konferencji Business Continuity & Resilience (2015)  na której między innymi omawiana była specyfikacja techniczna ISO/TS 22317 czyli “podręcznik do BIA”. Po konferencji ruszyły też w BSI i w ISO prace nad drugim ze wspomnianych standardów czyli ISO 22316. Spora część przemyśleń, jakimi dzielę się niżej to wnioski ze spotkań warsztatowych “From Risk 2 Resilience” – Londyn / Manchester i chyba Dublin (nie pamiętam, na tym ostatnim nie byłem) oraz kilku konferencji w Polsce. 

• Kilka zdań o konferencji: Resilience, nowa moda czy… (artykuł na Linkedin)
• O resilience jeszcze na samym początku i dwa zdania o pierwszym w Polsce szkoleniu w 2016 roku zrealizowanym w ESSA: Odporność (trwałość) organizacji

Po pierwsze jak mierzyć?

W artykule o którym wspominałem na początku wskazałem kilka mierników dla procesów. Są to np. MTPD – maximum tolerable period of disruption, BIL- business interruption limit. Ale w odporności to niestety nie zagra. Jak zostało zaznaczone w obu standardach, koncepcja mówi o elastyczności i dopasowaniu do otoczenia. A o jakim dopasowaniu możemy mówić w momencie pracy na sztywnych wskaźnikach? Widziałem nie raz zapełnione magazyny, bo piki produkcyjne klienta miały nastąpić za chwilę. I tam już podstawowy wskaźnik w dniach nie zadziała. W piku zapotrzebowanie jest na poziomie np. 800 elementów na zmianolinię, a nie 600 jak poza pikiem.

Wskaźniki dynamiczne

Na ostatnim szkoleniu BIA tworząc skale wpływu na organizację w kategoriach finansowych (jedna z kategorii skutku wskazywana przez ISO/TS 22317) zaproponowałem… wskaźnik płynności bieżącej netto jako mechanizm liczenia (bez wchodzenia w klasy, bo to nie wykład z rachunkowości i analizy finansowej, a szkolenie dla bezpieczników z rozumienia innych obszarów funkcjonowania organizacji). 

Dlaczego tak?

Dlatego, że skutkiem z kategorii finansowej nie będzie strata finansowa jako taka, a utrata płynności finansowej, czyli zdolności do regulowania zobowiązań, która nastąpi w czasie. BIA – czyli analiza wpływu na biznes skupia się między innymi na korelacji skutków w czasie i tym, jak to wpływa na organizację. 

Liczenie wpływu finansowego w modelach jakie widziałem w trakcie prowadzonych audytów z ciągłości działania zazwyczaj miało parametr stały. Np. 1.000.000 złotych. Tyle firma uznała, że jest w stanie jeszcze obsłużyć. Zadałem pytanie, a jeśli w tym czasie nastąpi inwestycja i zostanie wydatkowanych wiele środków finansowych z rezerwy, a dodatkowo dojdzie konieczność zablokowania środków z jakiegoś innego powodu? Okazało się, że i tak zakończyliśmy na wskaźniku płynności oraz korelacją z dostępnością pieniądza na rynku w tzw. szybkiej ścieżce finansowania. 

Koronawirus i COVID 19

Trudno nie odnieść się do obecnej sytuacji na świecie. Jest to doskonały przykład na kwestie rozumienia wpływu konkretnego zagrożenia i jego wpływu (BIA – jeszcze nie odporność). W ujęciu analitycznym zabrakło dynamicznych wskaźników związanych z możliwością obsługi narastającej wykładniczo liczby chorych. Dodatkowo plany kryzysowe bardzo rzadko zakładają nakładanie się różnych skutków w czasie, co jest podstawą właściwie wykonanej analizy BIA. Podejście takie przebija się już z relacji w mediach ze strony administracji cyt:.

“ten kryzys jest inny niż wszystkie, to jakby wszystkie się nałożyły”.

Temat wskaźników jak i nakładania się skutków będzie rozwijany w artykułach o zarządzaniu kryzysowym oraz częściowo w tych dotyczących odporności. Dla przypomnienia, odporność budowana jest cały czas i ze wszystkich zdarzeń, nie tylko tych najbardziej dotkliwych. A co do kryzysu, to on generalnie zakłada nakładanie się rożnego rodzaju skutków, wytwarzając całkowicie nową sytuację. Więcej w artykule cytowanym na początku. 

Po drugie kto ma to wdrażać?

W trakcie chwilowego rozwoju, zachwytu, czy wręcz euforii z odkrycia nowego zakresu działania dla bezpieczników firmowych (około 2015-2017 roku) nastąpił pewien zastój w rozwoju koncepcji. Moim zdaniem miał źródło w tym, że zabrakło kadr do rozwoju tej nowej koncepcji oraz swoistego oczekiwania (czy też zbudowania oczekiwania – marketing) jak i … to nie ten czas (w podsumowaniu więcej).

Większość specjalistów związanych z zarządzaniem ciągłością działania w organizacji jest mocno przywiązanych do stałych parametrów. Mają wszak:

• RTO – recovery time objective, czyli wskazany czasem w minutach, czasem w godzinach, rzadko w dniach czas wznowienia działania;
• RPO – recovery point objective, czyli punkt do którego się przywracamy. Łatwy do oszacowania w informacjach, w przemyśle nieco trudniej. Dodatkowo w informacjach nazywany jest MDL – maximum data loss. 
• MTPD (najstarszy) maximum tolerable period of disruption – w skrócie czas w którym wznawiamy się do poprzedniego poziomu. Czyli tego przed zdarzeniem. 

Odejście od tak sztywnych wskazań, na rzecz płynnych i dynamicznie tworzonych mierników, kwestie ich interpretacji i prezentacji oraz omówienia, są czymś, co naprawdę trudno (bez złośliwości to piszę) wdrożyć w systemach klasycznych oraz trudno tak naprawdę jest odejść od starej szkoły.

Nawyki zostają

Wracając jednak do kwalifikacji i kompetencji osób zajmujących się “resilience”. To już nie jest BCM manager, czy BCM coordinator. Świetnie to skomentował na jednym z for tematycznych jeden ze specjalistów, ze specjalnym apelem (około 2016 rok). 

To, że sobie zmienisz na wizytówce z Continuity czy Security na Resilience nie oznacza, że już rozumiesz istotę odporności organizacji. To nie są już klasyczne systemy. 

Później był apel o to, aby nie traktować resilience jako modnego sloganu, który nic nie wnosi. O tym, jakie kompetencje mieć powinien business resilience manager napiszę w odrębnym artykule, choć tutaj już mam nadzieję, że pewna zajawka jest. Elastyczność mierzy się miernikami dotyczącymi elastyczności, a nie sztywnymi danymi. A dodatkowo trzeba mieć co najmniej pojęcie o finansach i wskaźnikach, choć kategorii wpływu w samej BIA jest 5 (co ciekawe, to jest też podstawa do planów ciągłości działania). Czyli nakłada się jeszcze 4 dodatkowe obszary, w których również co najmniej pojęcie jest wymagane. 

Po trzecie jakie jest oczekiwanie?

Pamiętam dyskusję sprzed chyba 10 lat w temacie budowania mierników dla strategii. I ciągle i wciąż dominowały i dominują, te sztywne, dotyczące udziału w rynku, poziomu realizacji strategii oparte też o TKW (techniczny koszt wytworzenia i zarządzanie kosztami) inne. Czyli środowisko dość podobne do swoistego usztywnienia branży bezpieczeństwa. Nawet wskaźnik wzrostu udziału w rynku będzie wskaźnikiem z założenia sztywnym.

Proponowałem w tym czasie w środowisku doradców strategicznych wprowadzenie czynnika “szybkość reakcji na zmiany” i nie odniosło to niestety skutku. Faktem jest, że obszarze kosztów to się bardzo zmieniło, ale niestety czasem wchodzi coś co nazwałem swego czasu “słupkizmem”.

• Dla chętnych tutaj: Słupkizm… choroba czy religia? 

W tak usztywnionym środowisku managerów najwyższego szczebla (C-level), nazywanego w standardach (i nie tylko) top management, trudno jest o budowanie koncepcji bezpieczeństwa organizacji na czymś “płynnym”. Już dziś ciężko jest przekonać do nowych inwestycji np. w bezpieczeństwo informacji. Inwestycje pojawiają się po atakach ransomware, wyciekach danych, gdzie skutkiem jest tylko to, ile zostanie zapłacone z kasy. Choć wiele firm zrozumiało już, że np. bezpieczeństwo informacji to nie tylko kwestie routerów, serwerów i danych.

Ale też i możliwości… przetrwania?

Trwałość, odporność czy sprężystość?

W ten płynny sposób przeszliśmy do oczekiwań związanych z resilience. Specjalnie piszę po angielsku, bo mam z tym pewien problem. Myślę, że ten kawałek całkiem osobistych rozważań pomoże czytelnikowi w zrozumieniu istoty, koncepcji resilience. 

Pierwsze tłumaczenia mówią o odporności organizacji. Z punktu widzenia zdolności jako takiej, jest to tłumaczenie do przyjęcia. Jednak trudno mi się z tym zgodzić z punktu widzenia celu organizacyjnego. Dlatego, że to troszkę tak, jakby najważniejsze było posiąść umiejętności prowadzenia pojazdu, w celu jechania. A nie dotarcia do celu. 

Odporność organizmu nabywana jest w celu życia, trwania, trwałości. W tych rozważaniach w pewnym momencie wróciłem do ISO 22316, nad którym miałem przyjemność nieco popracować. Otóż w nim mamy kluczowy element do zrozumienia:

Resilience nie jest konkretnym działaniem czy stanem, nie ma też miary odporności jako takiej

Prognoza

I to będzie chyba największe wyzwanie w budowaniu odporności organizacyjnej (zostańmy przy oficjalnym słownictwie). Zrozumieć terminy trudne do zrozumienia, sprawy wykraczające poza standardowe postrzeganie. Wszak zawsze gdzieś z tyłu głowy mamy pytanie: czy ja robię dobrze? A może lepiej, czy gorzej? Wystarczająco, czy za mało?

Już sama analiza wpływu na biznes wymaga rozumienia, że opis wpływu to nie sztywny wskaźnik, a elastyczne wskazanie wpływu  i do tego efekty (również elastycznie liczone) nałożone w czasie dają nam dopiero informację o tym, jak dany incydent czy zdarzenie ma wpływ na naszą organizację. 

Dalej idziemy w zarządzanie kryzysowe, oparte o gromadzenie (również dynamiczne) informacji, jej wartościowanie i podejmowanie decyzji w mocno ograniczonym środowisku informacyjnym (dla przypomnienia, jak mamy plany “kryzysowe” z pełną informacją o wejściu i wyjściu z procesu, to co do zasady nie są to plany kryzysowe, bo w kryzysie nie znamy efektu). Nałożenie dodatkowo koncepcji resilience, która wykracza poza wszystkie dotychczas znane podejścia wydaje mi się, że jest za wczesna. Nie zła, po prostu za wczesna. 

Przykład:

Prace na analizach makroekonomicznych, mikro, wewnętrznych czy analizy łączne  to dziś kontekst zewnętrzny i wewnętrzny znane z norm ISO 31000 czy ISO 27001 (mniej) oraz wydań norm ISO 9001 i 14001 z 2015 roku (to już powszechnie). Początki używania przeze mnie w bezpieczeństwie to 2004 rok (moja pierwsza strategia w bezpieczeństwie publicznym), czyli 16 lat temu. I do dziś zasady nie do końca właściwie są rozumiane, a wiele osób działa utartym torem znanym z wcześniejszych systemów zarządzania, próbując za wszelką cenę spłaszczyć podejście oparte o ryzyko i wtłoczyć je do dobrze znanych elementów. 

Obrazuje to moim zdanie jak trudno, mimo dynamicznego rozwoju środowiska informacyjnego, o głębokie zmiany organizacyjne i świadomościowe.

Podsumowanie – czyli czym nie jest business resilience?

Tak na koniec przemyśleń, podstaw, garści wiedzy napiszę chyba najważniejszą kwestię, która spina chyba cały artykuł:

Business Resilience to nie jest system, który można wyjąć z szafy, czy zdjąć z półki. To filozofia.