Streszczenie: Procedury ciągłości działania to kluczowy element w zarządzaniu ryzykiem, pozwalający organizacjom utrzymać funkcjonowanie w sytuacjach kryzysowych. Aby przygotować firmę na różnorodne scenariusze, niezbędne jest wypracowanie strategii, które umożliwiają elastyczność w obliczu niespodziewanych zdarzeń. Przy opracowywaniu takich procedur ważne jest przewidywanie możliwych zagrożeń, ale także stworzenie systemu, który pozwala na szybkie reagowanie, minimalizowanie zakłóceń oraz odzyskiwanie normalnego funkcjonowania. Współczesne wyzwania, takie jak pandemia COVID-19, pokazały, jak kluczowe jest posiadanie sprawnych procedur w obliczu globalnych kryzysów, które mogą wpłynąć na łańcuchy dostaw, zasoby ludzkie i operacje firmy. Dobre praktyki obejmują m.in. określenie ról, procedur awaryjnych oraz odpowiednich zasobów, które mogą pomóc firmom przetrwać w trudnych czasach. Efektywne zarządzanie ciągłością działania zwiększa odporność organizacji na zmiany, pozwalając jej nie tylko na przeżycie kryzysu, ale również na późniejszy rozwój.
W ubiegłym roku firma PwC wykonała przekrojowe badanie wśród 2 tysięcy prezesów i członków organizacji funkcjonujących w 45 krajach i 25 branżach, aby dowiedzieć się, jak ich zdaniem objawia się kryzys oraz dlaczego w ogóle do niego dochodzi. Okazało się, że w ciągu ostatnich 5 lat prawie 70% respondentów doświadczyło co najmniej jednego poważnego kryzysu. Aż 95% z nich uważa, że jeśli firma dotychczas nie ucierpiała z tego powodu, na pewno prędzej czy później to się stanie. Przedsiębiorcy mają zatem świadomość, że kryzysy się zdarzają i będą się zdarzały, czego potwierdzeniem jest najnowsza sytuacja wywołana przez koronawirusa.
Jak więc „opancerzyć” organizację, aby skutki perturbacji były dla niej jak najmniej dotkliwe? Odpowiedź nie jest prosta, bo nie potrafimy przewidzieć każdego scenariusza, jaki może mieć miejsce. Rzecz sprowadza się do tego, aby maksymalnie zwiększyć odporność firmy, tak jak zwiększamy odporność organizmu ludzkiego, prowadząc higieniczny tryb życia.
Powinniśmy przygotować się na pewne sytuacje i testować rozwiązania, aby w ten sposób lepiej sobie radzić z potencjalnymi zagrożeniami w przyszłości. Żeby to zrobić, najpierw musimy przeprowadzić analizę ryzyka. Pozwoli nam to zorientować się, gdzie może wystąpić największe zagrożenie. Pamiętajmy też, że kryzysy przeważnie wywołują reakcje łańcuchowe, zbliżone do tzw. efektu kuli śnieżnej. Mapując ogniska zagrożenia, musimy uwzględnić branżę, w jakiej działamy, naszą pozycję konkurencyjną, kraj lub kraje, w których prowadzimy biznes. Warto podkreślić, że coś, co zaczyna się bardzo niewinnie, co w ogóle nie wygląda jak kryzys, może wywołać potężne perturbacje. Na przykład w firmie dochodzi do nadużycia i sprawa wypływa w mediach społecznościowych, wywołując kryzys medialny. Z powodu zszarganej reputacji firma traci klientów, co powoduje wymierne straty finansowe. Pamiętajmy, że kryzysy to najczęściej zdarzenia, w których głównym czynnikiem ryzyka są ludzie. Możemy mieć świetne procesy czy technologie, ale jeśli zawiedzie człowiek, to straty mogą być poważne.
Analiza i działanie prewencyjne
Zajmuję się sytuacjami kryzysowymi w organizacjach od lat i uważam, że mają one wspólne cechy. Są wielowątkowe, łańcuchowe i będą coraz bardziej złożone, ponieważ żyjemy w zglobalizowanym świecie. To po pierwsze. Po drugie, przygotowanie do kryzysu nie daje nam gwarancji, że unikniemy strat, ale możemy zarządzać jego przebiegiem, często minimalizując negatywne skutki, a czasem nawet umacniając naszą pozycję rynkową.
Mapowanie potencjalnych ognisk zapalnych pomaga budować różne procedury, np. procedury ciągłości działania. Musimy określić, jakimi kluczowymi zasobami dysponujemy, jakie mamy procesy, kto jest w nie zaangażowany, jak szybko kryzys może się nasilać, kto podejmuje decyzje, kto zajmuje się komunikacją, kto z kim się kontaktuje, kiedy i w jaki sposób – czy telefonicznie, mailowo, a może tradycyjnie przy użyciu papieru. Jeżeli na przykład firmę zaatakowali hakerzy, którzy żądają okupu za odblokowanie systemów informatycznych, ktoś musi szybko zdecydować, czy firma go zapłaci, czy nie. Czy do mediów pójdzie informacja? Jak ewentualnie powinna brzmieć? Kto ma wydać oświadczenie? Tu liczy się każda minuta, bo straty finansowe wynikające z „ubezwłasnowolnienia” firmy działającej w cyfrowym świecie mogą być ogromne.
Kiedy sytuacja wróci do normy, trzeba przedyskutować z osobami odpowiedzialnymi za zarządzanie kryzysem, co poszło dobrze, a co nie, i wyciągnąć wnioski. Kto tego nie zrobi, jest skazany na powtarzanie błędów. Rola symulacji kryzysowych
Optymalna ścieżka postępowania sprowadza się do tego, że lepiej zapobiegać niż gasić, dlatego można zawczasu przetrenować różne scenariusze.
PwC już od kilku lat organizuje dla swoich klientów warsztaty symulacji kryzysowej. Zapraszamy na nie członków zarządów i kluczową kadrę. Ćwiczymy procedury, a jeżeli ich w danej firmie nie ma, wspólnie wypracowujemy scenariusze zdarzeń i patrzymy, jak organizacja reaguje. Co się najczęściej okazuje? W pierwszej fazie kryzysu zarządy i kluczowi menedżerowie z reguły lekceważą zagrożenie albo działają pod wpływem silnych emocji. Kiedy emocje biorą górę, każdy zaczyna robić pewne rzeczy po swojemu, a brak komunikacji wewnętrznej powoduje, że decyzje nie są spójne. Obserwujemy również u ludzi naturalne – choć często niewłaściwe i szkodliwe – zachowania. Wtedy też wyłaniają się naturalni liderzy i nie zawsze są to szefowie firm. Dlatego nasze warsztaty zawsze kończą się dyskusją. Podsumowujemy, co się wydarzyło i co można było zrobić inaczej. Te informacje są szczególnie cenne z punktu widzenia szefa firmy, bo może zobaczyć, jak jego zespół pracuje w sytuacji stresowej, jak sam się zachowuje. Świadomość, że mamy odpowiednie procedury działania, pozwala z zimną krwią podejmować decyzje, kiedy firmie zagrozi kryzys.
Kryzysy są z reguły wielowątkowe, łańcuchowe i będą coraz bardziej złożone, ponieważ żyjemy w zglobalizowanym świecie.
Z jednym z naszych klientów przeprowadziliśmy warsztaty na okoliczność różnych ataków hakerskich. Włączyliśmy w to element nadużyć i złej prasy w mediach społecznościowych. Zespół wypadł średnio. Po roku powtórzyliśmy test i wszystko wyszło znakomicie. Wniosek jest prosty – jeżeli firma ma opracowane scenariusze postępowania na wypadek kryzysu, jeśli przetrenuje różne sytuacje, wtedy zespół potrafi prawidłowo działać, gdy wystąpią prawdziwe problemy. Sztab kryzysowy może składać się ze stałego trzonu pracowników, do którego tylko doprasza się ludzi w zależności od rodzaju kryzysu. W podstawowym składzie powinien znaleźć się członek zarządu, często sam prezes, a ponadto osoby odpowiedzialne za komunikację, dział prawny, a czasami również przedstawiciele dostawców. Konieczne jest też zapewnienie rezerwowych „sił i środków” do uruchomienia w trakcie kryzysu. Działanie w normalnych warunkach na granicy wydolności nie sprawdzi się w sytuacji kryzysowej.
Na wypadek kryzysu warto przejrzeć wszelkiego typu umowy i kontrakty oraz poznać klientów naszych partnerów biznesowych. Podam przykład. Dostawcy jednego z podzespołów do produkcji naszego flagowego produktu spaliła się fabryka. Innego, który przejąłby jego zlecenia, nie mamy. Nie możemy w związku z tym wywiązać się z umów wobec naszych odbiorców. Ubezpieczenie nie pokryje wszystkich strat. Możemy wystąpić z roszczeniami wobec dostawcy, ale to i tak narazi nas na koszty i utratę reputacji u naszych klientów. Jeżeli kontrakt został skonstruowany w taki sposób, że każda godzina przestoju u klienta kosztuje X tysięcy złotych/dolarów/euro i nie mamy dobrze zdefiniowanych czynników ryzyka, takich jak siła wyższa, pożar czy epidemia, będziemy płacić kary umowne. Z tej lekcji płynie następująca nauka – trzeba dobrze poznać własny łańcuch logistyczny oraz łańcuch dostawców i odbiorców oraz dwustronne zobowiązania. Musimy zastanowić się, z jakim ryzykiem możemy się spotkać i jak je ograniczyć. Ustalenie minimalnego poziomu zapasów wydaje się zasadne, ale w tym celu również będzie konieczna analiza ryzyka i bardzo świadoma decyzja. Utrzymywanie zapasów na wystarczającym poziomie (dwa tygodnie, miesiąc, kwartał) kosztuje określoną kwotę, więc trzeba rozważyć, czy zagrożenie jest realne, czy też koszt jest niewspółmierny do ryzyka.
Oczywiście są pewne kryzysy lub rodzaje zagrożeń, wobec których jesteśmy bezradni, dlatego plany ciągłości działania, o których wspomniałem, plany awaryjne, są kluczowe, żebyśmy byli w stanie zminimalizować straty. Jeżeli mamy jedną fabrykę i wydarzy się trzęsienie ziemi, powódź czy inna katastrofa naturalna, której nie jesteśmy w stanie uniknąć, możemy zminimalizować skutki poprzez odpowiednie ubezpieczenie. Powinniśmy też rozważyć strategię zdywersyfikowanego działania w kilku lokalizacjach.
Zarządzanie ryzykiem – nadmierny formalizm czy konieczność biznesowa
W świetle podejmowania działań ochronnych rodzi się jednak pytanie, czy organizacja opleciona procedurami jest w stanie elastycznie działać. Nasi klienci często mówią: „Nie chcemy nadmiernej formalizacji, bo to nas krępuje”. W takiej sytuacji wyjaśniam, że nie chodzi o zbędne usztywnienie, sformalizowanie działania, ale o świadome i szybkie podejmowanie decyzji. Jako prezes czy członek zarządu dużej firmy, chciałbym przecież wiedzieć, z jakim ryzykiem wiąże się moja strategia biznesowa. Chciałbym wiedzieć, że mam przygotowany zespół ludzi, który potrafi zarządzać różnymi rodzajami ryzyka, oraz że są na tę okoliczność określone procedury. Kiedy będę wiedział, jak wygląda mapa ryzyka i jak mam nim zarządzać, mogę bardzo szybko i sprawnie podejmować decyzje. Oczywiście diabeł tkwi w szczegółach. Firma musi więc znaleźć równowagę między nadmiernym usztywnieniem a potrzebami biznesowymi. Cała sztuka polega na wdrożeniu procesów w taki sposób, żeby koszty utrzymania „systemu obronnego” nie były wyższe niż korzyści z niego. Nie chodzi bowiem o zbudowanie zbędnej administracji, tylko o zwinne działanie dopasowane do potrzeb firmy.
