...

ISO 22361 – Zarządzanie kryzysowe

Picture of Dariusz Rycek

Dariusz Rycek

Kryzys w ujęciu normy ISO 22361

Wypatrywaliśmy długo normy z serii ISO 27000, które w ostatnim tygodniu października zostały opublikowane, a tymczasem przeoczyliśmy w ciągu wydawniczym inną ciekawą publikację. Wszyscy Ci, którzy zajmują się ciągłością działania temat zarządzania kryzysowego jest tematem następczym. Komitet techniczy ISO/TC 292 – Security and resilience we współpracy z komitetem CEN/ TC 391, Societal and Citizen Security (proszę zauważyć, że są to dwie komitety w różnych organizacjach, bo ISO oraz CEN –  European Committee for Standardization (CEN)) opublikował normę – wytyczne ISO 22361:2022 Security and resilience — Crisis management — Guidelines. Mamy więc nowy produkt z tej samej kwatery jak norma ISO 22301 dotycząca zarządzania ciągłością działania.

 Jak napisano we wstępie standard został opracowany aby pomóc „… w projektowaniu i ciągłym rozwoju zdolności organizacji do zarządzania kryzysem. Określa on zasady i praktyki potrzebne wszystkim organizacjom. Kryzysy stawiają organizacje przed złożonymi wyzwaniami i ewentualnie możliwościami, które mogą mieć głębokie i dalekosiężne konsekwencje. Zdolność organizacji do zarządzania kryzysem oraz jej zdolność do zarządzania zmieniającym się otoczeniem są kluczowymi czynnikami w określeniu, czy sytuacja lub incydent może potencjalnie stanowić poważne lub egzystencjalne zagrożenie dla organizacji i jej otoczenia. Kryzys dotykający organizację może być częścią szerszego kryzysu.

ISO 22301 certyfikacja, Kryzys, zarządzanie kryzysowe

Aby zapewnić, że zdolność do zarządzania kryzysem przynosi pożądane efekty, organizacja powinna zapewnić:

  • zaangażowane przywództwo;
  • struktury (np. finansowanie, komunikacja, relacje i powiązania, wyposażenie, obiekty, zarządzanie informacjami, zasady, procesy i procedury);
  • wspierającą kulturę (np. wartości, etyka, kodeks postępowania);
  • kompetentny personel (np. wiedza, umiejętności i postawa, elastyczne myślenie).

Na zdolność organizacji do zarządzania kryzysowego będą miały wpływ jej relacje z innymi współzależnymi obszarami, takimi jak zarządzanie ryzykiem, ciągłość działania, bezpieczeństwo informacji, bezpieczeństwo fizyczne, bezpieczeństwo firmy, ochrona ludności, reagowanie na incydenty i zarządzanie w sytuacjach awaryjnych. Organizacja powinna przyjąć uporządkowane podejście do zarządzania kryzysem poprzez zastosowanie zestawu zasad, na podstawie których można opracować ramy zarządzania kryzysem. Te wzajemnie powiązane zasady, ramy i mające zastosowanie elementy procesu wspierają wdrożenie zdolności zarządzania kryzysowego w sposób celowy, spójny i rygorystyczny…”

Zawartość normy ISO 22361:2022

Struktura dokumentu została tak zaprojektowana aby podejmowała takie zagadnienia jak:

  • podstawowe koncepcje zarządzania kryzysowego (klauzula 4);
  • ramy i proces budowania zdolności zarządzania kryzysowego (klauzula 5).
  • zarządzanie kryzysowe (klauzula 6);
  • strategiczne podejmowanie decyzji w sytuacjach kryzysowych (Klauzula 7);
  • komunikację kryzysową (klauzula 8);
  • szkolenia, walidację i wyciąganie wniosków z sytuacji kryzysowych (klauzula 9).

Ciągłe doskonalenie jest składową wszystkich elementów tego dokumentu (co widać w punktach 5,3,7), więc choć jest częścią procesu, odnosi się również do wszystkich elementów zdolności. To ważna rzecz napisana wprost, bo często zapomina się w różnych normach, że PDCA ma charakter mikro i makro.

Tak naprawdę standard odnosi się do kadry zarządzającej wyższego szczebla, która ponosi strategiczną odpowiedzialność za zapewnienie zdolności zarządzania kryzysowego w każdej organizacji. Jednakże może być również stosowany przez tych, którzy działają pod kierownictwem najwyższego kierownictwa, stanowią członków zespołu zarządzania kryzysowego. Dla każdego kto zbudował system zarządzenia ciągłością działania uzupełnienie wiedzy tematem zarządzania kryzysowego może być ciekawym rozwinięciem regulacji podejmujących tent temat dla organizacji. Niezależnie od odwołania do normy ISO 22300:2021 – Security and resilience — Vocabulary sam standard wprowadza 14 definicji specjalistycznych, które mogą pojawiać się także w innych opracowaniach i są ich przypomnieniem, jednakże głównie wprowadzają porządek komunikacyjny w zakresie zarządzania kryzysowego, który przedstawia w opracowaniu. Ponadto norma odwołuje się także do 3 norm, których znajomość w tematyce BCMS jest podstawowa, jak:

  • ISO 22313, Security and resilience — Business continuity management systems — Guidance on the use of ISO 22301, oraz
  • ISO 22329, Security and resilience — Emergency management — Guidelines for the use of social media in emergencies, czy też
  • ISO 22398, Societal security — Guidelines for exercises.
ISO 22301, ISO 22361, Kryzys, certyfikacja

Przywództwo w kryzysie

Norma zawiera także wiele diagramów tabel, które dobrze oddają specyfikę kryzysu, pokazują role oraz działania jakie należy podjąć w różnych momentach sytuacji kryzysowej.  Aby nie naruszać licencji pozwolę sobie przytoczyć tylko postanowienia art. 6.1.2 Rola i odpowiedzialność przywódcy w kryzysie.

Lider zarządzania kryzysowego powinien:

  • zapewnić, że zespoły są aktywowane i działają;
  • prowadzić spotkania kierownictwa zespołu, ustalać ich terminy i częstotliwość oraz ustalać porządek obrad;
  • przeglądać skład i działania CMT (zespół zarządzania kryzysowego) oraz jego personelu pomocniczego w miarę rozwoju sytuacji kryzysowej i w razie potrzeby zapewnić dostosowanie;
  • promować wspólną świadomość sytuacyjną;
  • kwestionować dowody i sposób myślenia w sytuacji kryzysowej i zachęcać CMT do tego samego (może to obejmować upomnienie);
  • określić strategię, wyznaczyć cel strategiczny i określić cele dla różnych zespołów i działów przyczyniających się do reakcji;
  • ciągłe przeglądać i wprowadzać niezbędne zmiany, zapewniając, że departamenty, zespoły i agencje regularnie składają sprawozdania z realizacji swoich celów i czynią odpowiednie postępy;
ISO 22301 certyfikacja ISO 22301
  • prowadzić szerokie konsultacje i doradzać kierownictwu wyższego szczebla w zakresie postępów, strategii i wymaganych działań;
  • promować tworzenie międzyorganizacyjnego konsensusu, w stosownych przypadkach, wskazując powody unieważnienia każdej rady lub zalecenia;
  • rozpoznać dylematy i rozumieć, że należy podjąć decyzję w oparciu o to, co jest znane w danym momencie;
  • zapewnić, że decyzje opierają się na najlepszych informacjach dostępnych w danym momencie, są współczujące, proporcjonalne, konieczne, etyczne, prawne i zgodne z wartościami organizacji;
  • dopilnować, aby decyzje i ich uzasadnienie były rejestrowane i dokumentowane w celu umożliwienia kontroli i analizy po zdarzeniu, tak aby można było wyciągnąć wnioski;
  • przeglądać i zatwierdzać strategie dla kluczowych komunikatów wewnętrznych i dla zainteresowanych stron oraz dla informacji publicznych i medialnych opracowywanych przez zespół ds. komunikacji;
  • pozostać w przypisanej im roli strategicznej;
  • kierować i nadawać uprawnienia podległym liderom;
  • zachęcić CMT do skoncentrowania się na określeniu tego, co należy zrobić, a nie na operacyjnych i technicznych szczegółach, jak to zrobić;
  • jak najwcześniej zapewnić strategiczne kierunki odbudowy i przeznaczyć na nią środki;
  • myśleć kreatywnie, być przygotowanym na myślenie poza paradygmatami normalnych działań i kultury organizacyjnej oraz rozważać radykalne rozwiązania;
  • określić, kiedy pożądane i bezpieczne jest zmniejszenie skali lub wstrzymanie reakcji;
  • zapewnić identyfikację i monitorowanie ważnych doświadczeń, wniosków i nauki.

A póki co zachęcam do lektury. Nie zależnie od lektury wielu innych opracowań, książek z zakresu zarządzania kryzysowego norma jest warta uwagi.

Zapraszamy do współpracy.
Zespół Centre of Excellence & QSCert

Scroll to Top