Najčešće standarde prihvatamo kad nam klljučni kupci zatraže. Kažu da je to loš motiv, jer to treba da uradimo prvenstveno zbog sebe samih. Često čujemo „mi sve radimo po zakonu“. Da se radi po zakonu, ne postavlja se pitanje, ali pitanjejestedo kojejedubine zakonodavac sve regulisao. Zakonodavac uvek ostavlja mogućnostda organizacija kroz procedure, uputstva i ostalo reguliše svoje poslovanje i usaglasi se sa zakonom.
Znam gazdu kome je goreo sprat sa dokumentacijom i knjigovodstvom. Kako je shvatio da nema povređenih, počeo je panično da razmišlja o višegodišnjoj poslovnoj evidenciji svake vrste koja je pretila da ode nepovratno u prah i pepeo. Emotivni i finansijski penali su se nadneli nad njim kao vatrena planina.
Vatrogasci su u paraleli radili svoj posao. Krčeći put sekirama, sprečili su da se požar proširi a potom su ugasili i apokaliptičnu smešu papira i tehnike, tako da je sve važno od podataka srećom u nesreći ostalo čitavo. Firma je pretekla ali je anksioznost da je sve moglo otići u nepovrat ostala. Mogućnost da našteti sebi a indirektno i onima sa kojima radi ga je proganjala. Srećom kad su stvari slegle, anksioznost je rešio terapijom standardima.
Uveo je najpre ISO 9001:2015 (upravljački, manadžement), ISO/IEC 27001:2013 (bezbednost informacija) i kao krunu ISO 22301:2019 koji se odnosi na kontinuitet poslovanja. Zašto kao krunu? Na svojoj koži je osetio strah da se to osim njemu, moglo desiti i njegovom dobavljaču. Bilo to požar, poplava ili pandemija koja nam je napravila salto mortale sa načinom rada i socijalnim navikama. Kada se to desi, normalna reakcija čoveka sa kojim radimo je najpre da nam je žao, ali sledeće je neumitno pitanje koliko brzo možemo nastaviti sa pružanjem usluga ili proizvodnjom?
Zakonska mogućnost ili znam, mogu, valjda i hoću
Kod standarda treba napraviti osnovnu razliku između upravljačkih (menadžment) i tehničkih. Upravljački standardi svoju osnovu imaju u ISO 9001:2015, tj. upravljanje sistemom kvaliteta. Zasnovan je na procesnom pristupu i pored ostalog sadrži zahteve sa stanovišta upravljanja organizacijom, procene rizika, operativnih aktivnosti, provera/ preispitivanja, kao i sistemskog rešavanja neusaglašenosti.
Uz ISO 9001 najčešće pod ruku ide reč procedura (po Kembridž rečniku to je ustaljena aktivnost po kojoj se nešto radi) na koje se svi ponosno pozivaju kada nešto rade, iako one ponekad ni ne postoje.
Najčešće u standarde uplovimo nevoljno, tj. kad nam ključni kupci zatraže. Kažu da je to loš motiv, jer to treba da uradimo prvenstveno zbog sebe samih. Ima naravno i svetlih primera, gde se pre uvođenja informacionog sistema srede i standardi što je uvek Tirke-Moša kombinacija. Ali uglavnom u standardu vide odličnu osnovu za najbolje odgovore na zahteve zakona. Često čujemo «mi sve radimo po zakonu». Da se radi po zakonu, ne postavlja se pitanje, ali pitanje jeste do koje je dubine zakonodavac sve regulisao (ko je za šta odgovoran, koje obrasce/ zapise koristimo i dr.)? Čitajući zakonske i podzakonske akte – pravilnike, otkrivamo da često nije propisano ko je u organizaciji za šta odgovoran, na koji način će se odgovoriti na zahtev zakona i slično.
Zakonodavac uvek ostavlja mogućnost da organizacija kroz procedure, uputstva i ostalo reguliše svoje poslovanje i usaglasi se sa zakonom. Stoga opštine i srodna preduzeća rado primenjuju zahteve ISO 9001 kako bi se po procesima (na primer izdavanje građevinskih dozvola) definisali procesi od prijema zahteva do izdavanja. Za svaki proces se definiše ko je u konkretnoj lokalnoj samoupravi za šta odgovoran (nikada po imenu, uvek po funkciji), kome se prosleđuje, ko čuva i gde dokumentaciju, ko su potpisnici i drugo. Tako usvojene procedure se proveravaju preispituju se i otklanjaju neusaglašenosti. Procedure se same po sebi ne mogu preslikati sa jedne na drugu opštinu ili javno preduzeće makar što ne opslužuju isti broj građana i privrednih subjekata. Trendovi u sertifikaciji pokazuju da lokalne samouprave i njihova komunalna preduzeća implementiraju i sertifikuju sisteme menadžmenta (pored ISO 9001) kako bi bili usaglašeni sa stanovišta sprovođenja zakonskih zahteva u oblasti zaštite životne sredine (ISO 14001:2015), zdravlja i bezbednosti na radu (ISO 45001:2015), bezbednosti informacija (ISO/ IEC 27001:2013 ) i dr. Nažalost, u Srbiji ISO/ 22301:2019 tj. BCP (business continuity plans – planiranje kontinuiteta upravljanja) koncept nije široko primenjen.
Svaki od navedenih standarda predstavlja dobru osnovu pre svega za uviđanje rizika i preduzimanja potrebnih mera kako ne bi došlo do incidentnih ili akcidentnih situacija. Takođe je važno napomenuti da je u osnovi svih standarda preventivna aktivnost. Ništa se nije loše desilo, ali hajde da nešto uradimo pre toga!
Procena rizika ili kako odigrati uvek dobitnu kvotu
Upravljanje kontinuitetom poslovanja je relativno nova menadžment disciplina koja je postala važna za organizacije koje rade u turbulentnom okruženju. Ekstremne klimatske promene, poplave, pandemije, požari, nestanak sa tržišta ključnog dobavljača, prekid pristupa onlajn aplikacijama i slično. Ovi događaji mogu uticati na širu poslovnu zajednicu, ali i da izazovu nepoverenje ili gubitak klijenata, poremećaj u toku novca ili čak nestanak kompanija sa tržišta. Razvijajući sistem upravljanja kontinuitetom poslovanja svaka organizacija bolje je pripremljena za situacije koje mogu dovesti do prekida u operacijama iz bilo kog razloga. Sličnom logikom se vode i lokalne samouprave, kao i njihova zavisna preduzeća. Ni u kom slučaju ne treba licitirati koje od preduzeća je «važnije» i čiji bi se prestanak pružanja usluga više odrazio na pružanje usluga privredi i građanima.
Zahtev standarda ISO 22301:2019 je procena rizika sa stanovišta nastavka kontinuiteta poslovanja/reagovanja na predviđene i nepredviđene događaje. Početak je definisanje procesa i za svaki od procesa procena rizika (događaja, pretnji, koje mogu dovesti do prestanka funkcionisanja). Za svaki od događaja prvenstveno se definiše priroda rizika (životna sredina, ugrožavanje života i zdravlja ljudi, ugrožavanje materijalnih i kulturnih dobara i dr.), odnosno rizik sa stanovišta prestanka funkcionisanja. Sigurno je da nisu
svi procesi u istom nivou rizika, da ima onih čije nefunkcionisanje ne znači ugrožavanje ljudi/ materijalnih i kulturnih dobara odmah, ali ima i onih koji moraju da budu operativni bez prestanka (proizvodnja vode, kanalizacioni sistem, gradska čistoća…)
Dobar primer su telekomunikacione kompanije, gde procesi koji se odnose na korisnike (na primer VPN, (tj. siguran daljinski pristup serverima) «rade» sa pouzdanošću od 99,9966%. Navedeno znači da pružalac usluge garantuje da će pouzdanost usluga biti na nivou otkazivanja jednom u 34 godine! Da bi se ovaj nivo postigao potrebno je da se obezbedi napajanje električnom energijom iz više izvora, agregati i dr. Opet, da bi bili sigurni da su agregati ispravni, moraju se proveravati u zadatom periodu. Ukoliko se u slučaju nestanka struje agregat ne aktivira, nastala šteta se ne može izmeriti. Pouzdanost od 99% znači da 15 minuta dnevno korisnik nema u ovom slučaju VPN uslugu. Prihvatljivo u nekim slučajevima, ali ako je u pitanju stalni nadzor postrojenja, sigurno da nije prihvatljivo.
Standardi u službi zakona ili kako opstati u teškim vremenima
Dobar primer ispunjenja zakonskih zahteva kroz implementaciju standarda može da bude Zakon o smanjenju rizika od katastrofa i upravljanju vanrednim situacijama. Jedan od izraza upotrebljenih u ovom zakonu je i upravljanje rizikom – kao skup mera i aktivnosti koje se sprovode u cilju implementacije politike smanjenja rizika od katastrofa, kao i administrativno operativnih i organizacionih veština i kapaciteta za njihovo sprovođenje.
To i jesu zahtevi standarda ISO 22301:2019 – Sistemi menadžmenta kontinuitetom poslovanja, odnosno ISO 22313 – Društvena odgovornost/ sistemi menadžmenta kontinuitetom poslovanja.
Takođe se u zakonu navodi da rizik označava kombinaciju verovatnoće da će se katastrofa desiti u određenom vremenskom razdoblju i sa određenim negativnim posledicama, odnosno da je procena rizika utvrđivanje prirode i stepena rizika od potencijalne opasnosti, stanja ugroženosti i posledica. Proračun rizika može da se vrši po kvalitativnim (npr. SWOT analiza), kvantitativnim (kao što je FMEA i druge) ili kombinovanim metodama u zavisnosti od prirode predviđenih događaja. Sve za račun projektovanja «robusnih» sistema otpornih na razne nepredviđene događaje. Atributi «otpornog sistema» uključuju sposobnost da se absorbuju udarci (predviđeni i nepredviđeni) i nastavi sa pružanjem usluga i proizvodnjom (brzi oporavak, sposobnost upravljanja krizom dok se odvija, mogućnost obnove pružanja usluga što je brže moguće, prilagodljivost, sposobnost da se uči iz sopstvenog i iskustva drugih..) Sagledavanjem rizika i uvođenjem BCP (business continuity plans – planova kontinuiteta upravljanja), u mnogome se smanjuju posledice nastalih neusaglašenosti.
Prema istraživanjima koja su rađena u Velikoj Britaniji najčešći razlozi prekida rada su gubitak IT funkcija (40%) i gubitak ljudstva (25%) kroz odsustvovanje sa posla, zatim gubitak telekomunikacionih funkcija (23%) i prekid u pružanju komunalnih usluga (21%). Veliki broj rukovodilaca, prema istom istraživanju, takođe shvata da bi gubitak ljudstva ili znanja imao veliki uticaj na njihove organizacije, pa opet mnogo manji broj uzima u obzir ove zaključke kada kreira Planove kontinuiteta poslovanja. Naprotiv, uprkos shvaćenom značaju i obimu prijavljenih prekida, 50% rukovodilaca anketiranih u 2019. godini rade u organizacijama koje nemaju uveden BCP. Ovo je naročito čest slučaj u malim i srednjim preduzećima.
Umesto zaključka ili prevencija nema alternativu
Nijedan standard nije iznad zakona već obratno i tu je jasno ko koga mora da sluša. U svim organizacijama, a naročito u opštinama i srodnim preduzećima, standardi predstavljaju osnovu sistema upravljanja a na osnovu toga i ispunjavanja zakonskih zahteva. Ko je primenio zahteve standarda ispunjava brže i mudrije svoje zadatke. Standard ISO 22301 je masovno uvođen nakon terorističkog napada od 11. 09. 2001. a države su ga uvodile kroz lokalne administracije. Problem je što se pre uvođenja standarda najpre desi nešto nepredviđeno, poput poplave ili požara a sadašnju pandemiju da i ne pominjemo. Nažalost, u većini slučaja sistema se setimo kada se nešto desi, što nikako nije dobro. Jedan od razloga za ređu primenu koncepta BCP je taj što je često besmislen u redovnom režimu rada ali kad dođe do dramatičnih situacija nezamenjiv je. Stoga je na neki način i lakše usvojiti BCP u „teškim vremenima“.
VSR nije samo planiranje za slučaj vanrednih situacija, niti oporavak od katastrofe. To je nešto što treba usvajati kao deo dobre prakse. Ceo postupak se gradi oko razumevanja poslovnog procesa jedne organizacije koja mora odgovoriti i na neprijatna pitanja – Šta su rizici? Kako utiču na posao? Šta jedna organizacija može da uradi po pitanju upravljanja tim rizicima? Na tu temu narod je davno mudro rekao – bolje sprečiti nego lečiti!
Naravno, o protivpožarnom sistemu s početka, možda drugi put.
Piše dr Dejan Curović diplomirani inženjer mašinstva
