Rewolucja w podejściu do Analizy Wpływu Biznesowego (BIA)?
W związku z opublikowaniem nowego wydania normy ISO 22301:2019 Bezpieczeństwo i odporność - Systemy zarządzania ciągłością działania - Wymagania i konieczności przeanalizowania zmian powstało kilka przemyśleń, którymi chciałbym się podzielić.
Wprowadzenie nowego wydania normy, może wprowadzić rewolucję w podejściu do Analizy Wpływu Biznesowego (BIA) i być może szacowania ryzyka. Na pierwszy rzut oka wydaje się, że główne zmiany w nowym wydaniu, to zmiany porządkowe oraz zmiany, których celem jest poprawa czytelności i możliwości zrozumienia tekstu. Rzeczywiście, doprecyzowano podstawowe definicje, cel i rolę Systemu Zarządzania Ciągłością Działania w organizacji. Usunięto również przykłady, które były charakterystyczne dla wcześniejszego wydania.
Wśród tych zmian jest aktualizacja definicji sformułowania „Activity”. W wydaniu normy z 2012 roku „Activity”, tłumaczone zazwyczaj jako „działalność”, oznaczało proces lub zestaw procesów realizowanych przez organizację (lub w jej imieniu), w wyniku czego wytwarzany jest wyrób lub świadczona jest usługa. Jako przykład norma podawała: rachunkowość, Call Center, zarządzanie systemami informatycznymi, produkcję albo dystrybucję. Podsumowując, można powiedzieć, że Activity to procesy lub grupy procesów.
W nowym wydaniu normy usunięto przykłady, a sformułowanie „Activity” definiowane jest jako zestaw jednego lub więcej zadań o określonym wyniku. „Activity” oznacza więc nie „działalność”, a „działanie”.
Jak się to odnosi do Analizy Wpływu Biznesowego (BIA)?
Zmieni się, w mojej opinii, podejście do metodyki BIA, a wszystkie analizy realizowane zgodnie ze starym standardem będą musiały ulec weryfikacji. W analizie realizowanej według nowej normy musimy identyfikować działania, które dotyczą dostarczania wyrobów i usług, a następnie oszacować skutki w czasie wynikające z zakłócenia tych działań. Nie będziemy się już podczas tych czynności odnosić do Procesów czy Megaprocesów, ale bardziej szczegółowo, do zadań realizowanych w ramach Procesów. Szacowanie skutków w czasie wynikających z zakłócenia tych działań będzie dużo bardziej szczegółowe, gdyż będzie się odnosić do zadań składających się na proces. Maksymalny tolerowany czas trwania zakłócenia (MPTD) również będzie precyzyjniejszy gdyż określany będzie w odniesieniu do różnych zadań w ramach jednego procesu. Priorytetowy czas potrzebny do wznowienia działań po zakłóceniu na określonym minimalnym akceptowalnym poziomie (RTO) będzie się odnosił do zadań składających się na proces, które rzeczywiście są priorytetowe w aspekcie odtworzenia działań. Analiza stosowana do identyfikowania działań, którym nadano priorytet, będzie bardzo szczegółowa, a same działania, którym nadano priorytet, będą fragmentami procesów.
Podobnie będzie z oceną ryzyka, w ramach której określać będziemy zagrożenia odnośnie działań, a nie działalności. Podstawą oceny będą zadania, a nie Procesy czy Megaprocesy itd. Czeka nas więc, kolejna aktualizacja Analizy Wpływu Biznesowego. Kolejna, gdyż mam nadzieję, że po wystąpieniu pandemii COVID wszyscy zaktualizowali swoje BIA.
Zmiana opisu definicji „Activity” niesie ze sobą wiele korzyści. Dzięki uszczegółowieniu Analizy Wpływu Biznesowego, nasz System Zarządzania Ciągłością Działania zostanie ukierunkowany na działania realizowane w procesach celem wyodrębnienia zadań kluczowych i prawidłowego zaplanowania BCMS. Korzyści z uszczegółowienia ocena ryzyka to też temat ”rzeka”. Reasumując zmiana w definicji „Activity” poprawi, w mojej ocenie” efektywność funkcjonujących Systemów Zarządzania Ciągłością Działania.
Myślę, że niektóre metodyki stosowane do analizy BIA obronią się, choć zapewne nie wszystkie. Warto nie zwlekać z tematem wdrażania wymagań nowego wydania normy ISO 22301.
Zastanawiające jest, jak do zmienionego podejścia do Analizy Wpływu Biznesowego czy oceny ryzyka w BCMSie podejdą audytorzy weryfikujący wdrożenie wymagań Ustawy dotyczącej Cyberbezpieczeństwa u Operatorów Usług Kluczowych.
Warto wspomnieć, iż ważną zmianą w nowym wydaniu normy ISO 22301 jest zmniejszenie ilości dokumentacji wymaganej formalnie. Zmiana ta pozwala małym firmom nie obciążać się nadmiarem dokumentacji. Musimy jednak pamiętać, że aby system sprawnie funkcjonował i był możliwy do oceny i doskonalenia, organizacja, szczególnie duża lub skomplikowana, musi stworzyć dodatkowe dokumenty w celu właściwego zaplanowania systemu. Widać tutaj metodykę PDCA (Plan-Do-Check-Akt), która przywołana jest również w normie ISO 22301:2019, metodyka którą warto wykorzystać przy właściwym zaplanowaniu, wdrażaniu i doskonaleniu dokumentacji jak również Systemu Zarządzania Ciągłością Działania.
W związku z ograniczeniem w nowym wydaniu normy ISO 22301:2019 wymagań dotyczących dokumentacji dla organizacji, które planują wdrażać normę, świetnym przewodnikiem będzie wydana w tym roku norma ISO 22313:2020 Bezpieczeństwo powszechne - Systemy zarządzania ciągłością działania – Wytyczne. W normie tej przedstawiono wytyczne oparte na dobrych praktykach w zakresie planowania, wdrażania, monitorowania, przeglądu, utrzymania i ciągłego doskonalenia Systemu Zarządzania Ciągłością Działania.
PRS S.A. jako pierwsza polska jednostka certyfikacyjna uzyskał akredytację Polskiego Centrum Akredytacji na certyfikację systemów zarządzania ciągłością działania zgodnie z normą ISO 22301. Wypowiedzi naszych zadowolonych z certyfikacji ISO 22301, w aspekcie Pandemii, klientów znajdziecie Państwo pod linkiem https://www.prs.pl/aktualnosci/2020/system-zarzadzania-ciagloscia-dzialania-jako-skuteczne-narzedzie-dla-firm-w-dobie-pandemii
Więcej na temat certyfikacji systemów zarzadzania znajdziecie Państwo pod linkiem https://www.prs.pl/oferta-prs/certyfikacja/certyfikacja-systemow-zarzadzania/oferta-19/certyfikacja-iso-22301-systemy-zarzadzania-ciagloscia-dzialania
Dariusz Hejmej - - Regionalny Menadżer ds. Rozwoju Certyfikacji
