Plany ZK i CD dla firm [2010]

Franciszek R. Krynojewski                                                                                              Katowice 2010 rok

                                                                                                     „Można mieć nadzieję, że nic się nie wydarzy,
                                                                                                         ale mimo to lepiej być przygotowanym”
Romuald Grocki

   „Noe zbudował Arkę przed powodzią”

PLANY ZARZĄDZANIA KRYZYSOWEGO

Bezpieczeństwo – to jedna z podstawowych potrzeb człowieka. Odznacza się brakiem ryzyka utraty czegoś dla człowieka szczególnie cennego – życia, zdrowia, pracy, szacunku, uczuć, dóbr materialnych i dóbr niematerialnych.

Człowiek, grupa społeczna, państwo, organizacja międzynarodowa starają się oddziaływać na swoje otoczenie zewnętrzne i sferę wewnętrzną, by usuwać a przynajmniej oddalać zagrożenia, eliminując własny lęk, obawy, niepokój i niepewność. Zagrożenia mogą być skierowane na zewnątrz i do wewnątrz; tak samo powinny być skierowane działania w celu ich likwidowania.

Wyróżniamy rodzaje bezpieczeństwa:
1. ze względu na obszar jakie obejmuje – globalne, międzynarodowe, regionalne i narodowe;
2. ze względu na stosunek do obszaru państwa – zewnętrzne i wewnętrzne;
3. ze względu na dziedzinę w jakiej występuje – militarne, polityczne, energetyczne, ekologiczne, informatyczne, społeczne, kulturowe; fizyczne, socjalne; strukturalne i personalne.

Bezpieczeństwo publiczne to ogół warunków i instytucji chroniących życie, zdrowie, mienie obywateli oraz majątek ogólnonarodowy, ustrój i suwerenność państwa przed zjawiskami groźnymi dla ładu prawnego, a także przed zjawiskami mogącymi zakłócić normalne funkcjonowanie obywateli, godzącymi w ogólnie przyjęte normy postępowania.
W rozdziale 2 Ustawy o samorządzie gminnym (Dz. U. z 2001 r. Nr 142, poz. 1591 z późn. zm.) znajdujemy „Zakres działania i zadania gminy”.
Art. 7. 1. Zaspokajanie zbiorowych potrzeb wspólnoty należy do zadań własnych gminy.
W szczególności zadania własne obejmują sprawy:
pkt 14 – porządku publicznego i bezpieczeństwa obywateli oraz ochrony przeciwpożarowej i przeciwpowodziowej. Od 2007 roku gminy dysponują materiałami, które uściślają ten powyższy, bardzo lakoniczny zapis w postaci ustawy o zarządzaniu kryzysowym (Dz. U. Nr 89 poz. 590 z dnia 21 maja 2007 r. z późn. zm.).

Czym jest zarządzanie kryzysowe?

Zarządzanie kryzysowe to działalność organów administracji publicznej będąca elementem kierowania bezpieczeństwem narodowym, która polega na zapobieganiu sytuacjom kryzysowym, przygotowaniu do przejmowania nad nimi kontroli w drodze zaplanowanych działań, reagowaniu w przypadku wystąpienia sytuacji kryzysowych, usuwaniu ich skutków oraz odtwarzaniu zasobów i infrastruktury krytycznej. (Art. 2. w/w ustawy)

Uzupełnieniem powyżej zacytowanej definicji jest określenie: sytuacja kryzysowa – należy przez to rozumieć sytuację wpływającą negatywnie na poziom bezpieczeństwa ludzi, mienia w znacznych rozmiarach lub środowiska, wywołującą znaczne ograniczenia w działaniu właściwych organów administracji publicznej ze względu na nieadekwatność posiadanych sił i środków.

Uwzględniając powyższe, wszystko co związane jest z bezpieczeństwem obywateli naszego kraju, jest w rękach urzędników, nam pozostaje cieszyć się tym, że na ulicach jest bezpiecznie. Nie ma wypadków drogowych a w zakładach pracy, ludzie pracują w sterylnym otoczeniu. Po pracy wszyscy korzystamy z odnowy biologiczne, oczywiście za darmo, bo przecież płacimy podatki zdrowotne, co niektórzy nawet kilka. Jak jest w rzeczywistości?

Nie ma dnia abyśmy nie usłyszeli o wypadku drogowym z ofiarami śmiertelnymi. Prawie codziennie słyszymy o napaści, morderstwie. Coraz częściej odbieramy informacje o zamachach terrorystycznych, w których ginie kilka lub kilkadziesiąt osób.
W Polsce cały czas bezpieczeństwo pojedynczych osób traktowane jest marginalnie. Owszem obowiązują pewne przepisy, które jednak nie do końca są respektowane oraz wymagane.

Z jednej strony wymaga się od właścicieli przedsiębiorstw opracowywania różnego rodzaju dokumentów, realizuje się szkolenia BHP po to aby się odbyły. Dokumenty z reguły nie spełniają swej roli, bo ich schematy są bardziej opisowe niż wykonawcze. Jednym z takich dokumentów jest „Plan obrony cywilnej zakładu”. Wymóg jego opracowania wynika z Rozporządzenie Rady Ministrów z 25 czerwca 2002 r. w sprawie szczegółowego zakresu działania Szefa Obrony Cywilnej Kraju, szefów obrony cywilnej województw, powiatów i gmin (Dz. U. Nr 96 poz. 850 z 2002 r.). Niestety część urzędników wg. własnego poglądu uważa, że nie wszystkie zakłady winny go opracowywać, np. szkoły. Z kolei przedstawiciel MEN uważa, że szkoła musi być traktowana tak samo jak każdy inny zakład i plan winna posiadać.

Drugim dokumentem jest „Instrukcja bezpieczeństwa pożarowego”, która zobowiązuje właścicieli zakładu do przeprowadzenia próbnej ewakuacji jeden raz na dwa lata. Czy wszyscy zobowiązani do tego realizują te czynności?

Inne, charakterystyczne zakłady, opracowują „Plany ochrony”. Mnogość różnego rodzaju papierków jest coraz większa, ale nic z tego nie wynika. Część w/w dokumentów przygotowywana jest na jedno zdarzenie, a przecież możliwość wystąpienia różnych zdarzeń w jednym zakładzie jest praktycznie nieograniczona. Przecież zdarzenie z 11 września 2001 roku wcześniej nawet w filmach fikcji nie było uwzględniane. Jeśli już, to w roli terrorystów występowali kosmici. Jako przykład różnego rodzaju zagrożeń mogących wystąpić w zakładzie, niech posłuży nam zaczerpnięty z książki „Zarządzanie sytuacją kryzysową czyli jak ochronić firmę przed najgorszym” fragment, wyliczanka zagrożeń. Autorami jej są Ian I. Mitroff i Christine M. Pearson.

Aborcja, wypadki, działania aktywistów, niekorzystne działania rządu, AIDS, katastrofy lotnicze, środki bezpieczeństwa w lotnictwie, środki bezpieczeństwa w porcie lotniczym, ochrona portu lotniczego, anonimowi oskarżyciele, azbest, nieściągalne długi, bankructwo, syndyk masy upadłościowej, zarząd komisaryczny, nieprzepisowe wykorzystanie materiałów chemicznych, wyciek chemikaliów, niepokoje społeczne, dezinformacja spowodowana przez konkurencję, przekroczenie budżetu, krach na giełdzie, śmierć (klienta), śmierć (pracownika), śmierć (dyrektora naczelnego), dyskryminacja, dyskredytacja, pozbawienie stanowiska, narkomania i nadużywanie środków chemicznych, malwersacja, wypadki w pracy, awaria urządzeń, ujawnienie nieprawidłowości, fałszywe oskarżenia, fałszerstwo, pożar, wypadki przy użyciu niebezpiecznych materiałów, wzięcie zakładników, przejęcie majątku wbrew woli właściciela, niedostępność informacji, wypadki o charakterze międzynarodowym, konkurencja międzynarodowa, radioaktywność, problemy pracownicze, zwolnienia grupowe, przedostawanie się poufnych informacji na zewnątrz, likwidacja firmy, kłamliwe informacje, fuzje, wprowadzenie nowych produktów na rynek, hałas, emisja pyłów radioaktywnych, wycofanie produktu z obiegu, fałszowanie produktu, pogłoski, sabotaż, afera, przecieki informacyjne, infiltracja, uzależnienie się od seksu, strajki, zmiany w systemie podatkowym, transfer technologii, wywiady telewizyjne, terroryzm, ruch uliczny, wypadki drogowe, nieprzychylna wzmianka w telewizyjnym programie informacyjnym, nieetyczne zachowanie, wandalizm, zanieczyszczenie powietrza, donosiciele i wiele innych.

Wspomniana powyżej książka Zarządzanie sytuacją kryzysową… adresowana jest do tych, którzy uświadomili sobie, iż pojawianie się sytuacji kryzysowych obfitujących
w daleko idące skutki jest nieodłącznym składnikiem współczesnego etapu rozwoju cywilizacyjnego. Niezwykle złożony charakter instytucji i systemów, które stworzyliśmy, jest jednym z głównych czynników występowania kryzysów wynikających z działalności człowieka. Powyższa książka przeznaczona jest również dla tych, którzy chcieliby nauczyć się korzystać z najnowszych narzędzi i metod zarządzania sytuacją kryzysową, aby organizacje, w których pracują, mogły ich uniknąć i aby usprawnić działania antykryzysowe w przypadku tych, które występują mimo wielu podejmowanych wysiłków i najlepszych intencji.

Odbiorcą książki winni być przede wszystkim kierownicy wyższego szczebla, menedżerowie oraz studenci zarządzania kryzysowego.

Dyrektorzy odgrywają bardzo ważną rolę w procesie projektowania, akceptacji
i wdrażania skutecznego programu ZSK (zarządzanie sytuacją kryzysową): bez aktywnego udziału dyrektorów i menedżerów na wszystkich szczeblach organizacji żaden program nie może się powieść. Z kolei ci, którym powierzono odpowiedzialność za przeprowadzenie programu ZSK, opracowanego przez kierownictwo wyższego szczebla, mają także istotną rolę do spełnienia. (Autorzy w/w książki).

Niektóre zakłady w Polsce opracowują na własne potrzeby tzw. „Plany Ciągłości Działania”. Dlaczego takie Plany Ciągłości Działania nie są w Polsce obowiązkowe, a w USA tak? W Stanach Zjednoczonych Ameryki Północnej posiadanie planów jest wymagane od firm, które są notowane na giełdzie. Obowiązek ten mają też wszystkie banki i instytucje finansowe. Ustawa Sarbanes Oxley Act, która została przyjęta po aferach finansowych Worldcomu, Enronu, wymaga przejrzystości i zabezpieczenia danych księgowych. Żeby wywiązać się z tego obowiązku, firma musi choćby w minimalnym zakresie funkcjonować nawet w przypadku katastrofy. W Polsce obowiązek posiadania Planów Ciągłości Działania jest regulowany sektorowo i na razie dotyczy banków i firm telekomunikacyjnych. Główny inspektor nadzoru bankowego wydał w tej sprawie rekomendację, a Ministerstwo Infrastruktury – rozporządzenie pod adresem operatorów. Natomiast obowiązku tego nie mają spółki notowane na warszawskiej giełdzie. Posiadanie planu jest wyrazem odpowiedzialności zarządów za losy spółki oraz czytelnym sygnałem wysyłanym pod adresem inwestorów, akcjonariuszy i klientów. (Cytat z wypowiedzi Pani Renaty Davidson – Sukces 2006 rok).

Wspomniane powyżej Plany Ciągłości Działania pozwalają na utrzymanie funkcjonowania najważniejszych procesów biznesowych organizacji – firmy, na minimalnym akceptowalnym poziomie. Decyzje o opracowaniu Planu Ciągłości Działania mają charakter strategiczny, są wyrazem rzeczywistej troski zarządu przedsiębiorstwa o jego przyszłość. Posiadanie Planu podnosi wiarygodność firmy w oczach udziałowców, inwestorów i klientów. Coraz częściej jest również wymogiem stawianym przez ubezpieczycieli. Zgodnie z Brytyjskimi Standardami (BS 25999-1:2006) i ISO 27001 proces tworzenia Planu Ciągłości Działania obejmuje 10 głównych obszarów:
1. Inicjacja i zarządzanie projektem,
2. Ocena i zarządzanie ryzykiem operacyjnym,
3. Wpływ zdarzenia na przedsiębiorstwo,
4. Opracowanie strategii przetrwania,
5. Pierwsza reakcja na zdarzenie,
6. Opracowanie i wdrożenie planu ciągłości działania,
7. Program szkoleń i budowanie świadomości pracowników,
8. Aktualizacja i testowanie planu ciągłości działania,
9. Komunikacja medialna – relacje publiczne,
10. Koordynacja działań ze służbami publicznymi i instytucjami nadzorczymi.

Podstawowe zasady utrzymania ciągłości działania (UCD)

Zgodnie z kodeksem dobrych praktyk, niezbędne jest stosowanie zasad utrzymania ciągłości istnienia i działania przedsiębiorstwa. Zasady te m.in. są upowszechniane przez amerykański Instytut ds. Utrzymania Ciągłości Działania Biznesu. Wyróżnić należy następujące:
– Działania muszą być dostosowane do przyjętej strategii działania przedsiębiorstwa.
– Przedsiębiorstwo jako całość oraz wszystkie jego działy ponoszą odpowiedzialność za zarządzanie ryzykiem i skuteczne utrzymanie ciągłości działania.
– Działania realizowane przez przedsiębiorstwa muszą stworzyć organizacyjną odporność na negatywne zdarzenia, tak aby gwarantować produkcję towarów bądź świadczonych usług na poziomie umożliwiającym przetrwanie firmy.
– Wszystkie strategie, plany i koncepcje UCD muszą uwzględniać krytyczną ocenę wszystkich dziedzin działalności przedsiębiorstwa jak również na ocenie już zaistniałych oraz możliwych strat.
– Ocena strat jest przeprowadzana w odniesieniu do wszystkich produktów i usług przedsiębiorstwa.
– Należy tak szacować koszty, aby powodowały proces zwiększania wartości firmy.
– Nie można przesuwać w ramach działalności koncernu lub transferować do innej zarządzającej firmy zewnętrznej, odpowiedzialności za ryzyko utraty reputacji i udział
w rynku.
– Firma musi posiadać zatwierdzoną strategią utrzymania ciągłości działania w postaci pisemnej.
– Procedury i zasady opisane w planie UCD – muszą być zrozumiałe dla wszystkich odbiorców, osób w nim uczestniczących.
– Procedury ujęte w planie UCD muszą być uwzględniane na każdym etapie uruchamiania nowych projektów, transakcji, produktów, usług i zmian w organizacyjnej infrastrukturze przedsiębiorstwa.
– Proces UCD jest częścią składową wszystkich zmian w zarządzaniu firmą.
– Przedsiębiorstwo winno współpracować z partnerami i usługodawcami, którzy również posiadają udokumentowane procedury UCD.
– Kompetencja ekspertów ds. UCD powinna bazować na standardach międzynarodowych.

Zdarzenia kryzysowe, wymagające korzystania z procedur UCD, mogą mieć wiele przyczyn. Większość z nich można usunąć lub znacznie osłabić. Duża część kryzysów ma podłoże zewnętrze. Należy wtedy szybko reagować, aby w jak najkrótszym okresie przywrócić stan normalny. Właściciele małych firm są wyjątkowo mocno zainteresowani losem swoich pieniędzy i swojego majątku. Inaczej wygląda sytuacja w dużych firmach – korporacjach, gdzie mogą wystąpić niezgodności między planowaniem a realizacją ustalonych wcześniej zadań. Może wystąpić rozbieżność interesów pomiędzy właścicielami a zarządcami. Te rozbieżności spowodowały konieczność wypracowania i opracowania, niekiedy bardzo szczegółowych, zasad i procedur do stosowania w dużych firmach a nawet branżach.

Przepisy prawne

1. Standard NFPA 1600 – amerykański standard opublikowany w grudniu 2006 roku jest podstawowym dokumentem, na którym wzorują się specjaliści i przedsiębiorcy zajmujący się ciągłością działania w Stanach Zjednoczonych i nie tylko. Pierwsza wersja została opublikowana w 1995 roku przez Radę Programową Narodowego Stowarzyszenia ds. Ochrony Przeciwpożarowej (NFPA) jako NFPA 1600 – Polecane praktyki w zarządzaniu kryzysowym. W 2010 roku oczekiwana jest wersja rozszerzona o doświadczenia wszystkich jej twórców oraz specjalistów z innych krajów. Obecny standard obejmuje zestaw kryteriów służących prawidłowemu zarządzaniu w sytuacjach wystąpienia kryzysu i katastrof oraz zarządzaniu utrzymaniem ciągłości biznesu na terenie USA. Wyróżnia pięć aspektów utrzymania ciągłości:
a) Zapobieganie kryzysom
b) Minimalizowanie i łagodzenie ich skutków
c) Przygotowanie działań naprawczych
d) Przeciwdziałanie kryzysom i
e) Odzyskiwaniem zasobów i naprawy infrastruktury.

2. Brytyjski Standard BS 25999 standard ten składa się z dwóch dokumentów prawnych. Pierwszy to BS 25999-1:2006 z 2006 roku noszący nazwę Kodeks praktyk. Zawiera on ogół zasad zarządzania ciągłością biznesu, ustanowienia odpowiednich procesów w firmie oraz planów, zasad i reguł działania oraz przyjęcia jednorakiej terminologii. Drugi dokument oznaczony symbolem BS 25999-2:2007 powstał w 2007 roku jako Specyfikacja do programu zarządzania ciągłością biznesu. Jest zbiorem szczegółowych wytycznych i zaleceń oraz wzorów postępowania w ramach programu ciągłości działania. Uwzględnia on wymagania w zakresie planowania, wdrożenia, funkcjonowania, udoskonalenia, testowania oraz dokumentowania całego systemu działań tak aby można było go poddać audytowi, na podstawie którego zakład otrzyma odpowiedni certyfikat. Dokument ten wydają jednostki brytyjskie np. BSI lub LRQA – działająca w ramach Lloyd’s Register Group. Dokument brytyjski jest inaczej skonstruowany, od samego początku skupia się bardziej na przedsiębiorstwach niż na instytucjach publicznych. Kładzie szczególny nacisk na kulturze zarządzania ciągłością jako działaniem systemowym. Ze względu na swą konstrukcję wyrażoną jako Planuj – Wykonuj – Sprawdzaj – Działaj, stanowi dobry model do wprowadzenia w warunkach międzynarodowych jako standard ISO.

3. Kolejnym brytyjskim aktem prawnym jest ustawa o zarządzaniu kryzysowym Civil contingencies Act 2004. Pozwala ona rządowi brytyjskiemu podejmować szerokie działania wspierające instytucje publiczne i obronę cywilną. Akt ten zastąpił wcześniejsze z lat 20 ubiegłego wieku a w zakresie obrony cywilnej z roku 1948 i 1950. Przypomina trochę, ze względu na jej publiczny charakter amerykański Standard NFPA 1600. Składa się z dwu podstawowych części uzupełnionych szeregiem aktów uzupełniających. Część pierwsza zawiera trzy grupy zagrożeń scharakteryzowanych jako możliwość wystąpienia kryzysu lub utraty ciągłości działania:
a) Zdarzenia lub sytuacje niosące poważne zagrożenia dla ludzi
b) Zdarzenia lub sytuacje niosące poważne zagrożenia dla środowiska i
c) Wojny, akty terroru i inne zdarzenia niosące zagrożenia dla bezpieczeństwa Wielkiej Brytanii.
Ustawa charakteryzuje również dwie kategorie służb, których zadaniem jest reagowanie na sytuacje zagrożenia. Do pierwszej, tzw. Szybkiego reagowania zaliczono – policję, straż pożarną, służby ratownictwa medycznego, straż wybrzeża, lokalne władze, ośrodki opiekuńcze agencje ochrony środowiska itp. Drugą kategorię stanowią instytucje wspierające pierwszą tj.: dostawcy energii, dostawcy gazu, służby komunalne, dostawcy telekomunikacyjni, operatorzy infrastruktury kolejowej, drogowej, lotniczej, inne strategiczne instytucje oraz specjaliści z zakresu BHP.
Do innych brytyjskich dokumentów zaliczyć należy m.in.:
a) wydany przez Brytyjski Instytut ds. Utrzymania Ciągłości w Biznesie w 2008 roku „Przewodnik po dobrych praktykach. Wytyczne dla zarządu: wdrażanie światowych, dobrych praktyk w zarządzaniu ciągłością biznesu”
b) Standard BS 7799 składający się z dwóch części – BS 7799-1:1999 „Kodeks praktyk zarządzania bezpieczeństwem informacji” i BS 7799-2:1999 „Specyfikacja dla systemu zarządzania bezpieczeństwem informacji”

4. ISO/PAS 22399:2007 – Międzynarodowa Organizacja Normalizacyjna (ISO), opublikowała w 2007 roku dokument, ratyfikowany jednomyślnie przez przedstawicieli 50 krajów, pierwszy na świecie dokument standaryzujący zagadnienia utrzymania ciągłości działania. Zawarte w nim wytyczne oparte zostały o te najlepsze praktyki, opracowane w USA, Wielkiej Brytanii, Australii, Japonii i Izraelu. Norma ISO/PAS 22399:2007 – Bezpieczeństwo publiczne – wytyczne do operacyjnego przygotowania i zarządzania ciągłością działania organizacji w sytuacjach kryzysowych. Celem ISO/PAS 22399:2007 jest zapobieganie zawieszeniu lub przerwaniu działań organizacji w przypadku wystąpienia aktu terroru, zanieczyszczenia środowiska, kryzysu technologicznego bądź wystąpienia klęski żywiołowej. Trwają prace nad aktualizacją w/w dokumentu.

5. HB 221:2004 ale również HB 292-2006 oraz HB 293 – to dokumenty, które zostały opracowane na potrzeby Australii, Nowej Zelandii i innych krajów Azji. Ciekawostką tych dokumentów jest niemal poradnikowe ujęcie problematyki ciągłości działania.

Polskie przepisy prawne.

1. PN-I-07799-2:2005 Systemy zarządzania bezpieczeństwem informacji – polskie tłumaczenie normy ISO/IEC 17799 (wcześniej znanej jako brytyjska norma BS 7799-2).
4 stycznia 2007 r. opublikowano normę PN-ISO/IEC 27001:2007, która ją zastępuje. Norma ta dotyczy zarządzania bezpieczeństwem informacji tzn. planowaniem, wdrażaniem, eksploatacją, kontrolą, udoskonaleniem i tworzeniem dokumentacji. Pełna nazwa tej normy brzmi: Systemy zarządzania bezpieczeństwem informacji – Specyfikacja
i wytyczne do stosowania. Wprowadza nowy skrót SZBI – System Zarządzania Bezpieczeństwem Informacji. Norma przedstawia ok. 120 wymagań dotyczących SZBI oraz proponuje ok. 130 rodzajów zabezpieczeń.

2. Ustawa z dnia 28 lutego 2003 roku Prawo upadłościowe i naprawcze (Dz. U. z 2003 Nr 60 poz. 535 z późn. zm.) jest jedną z ważniejszych ustaw dotyczących zagadnień UCD (utrzymania ciągłości działania) w Polsce. Kłopoty firmy czy nawet bankructwo nie są jednoznaczne z przerwaniem ciągłości działania. Na odwrót – jeśli przeprowadzone zostanie w sposób kontrolowany, zgodnie z odpowiednim planem postępowanie naprawy firmy, można ją uratować i odtworzyć jej struktury od nowa. W ustawie zdefiniowano dokładnie podmioty, których ustawa dotyczy. Obejmuje swym zakresem przede wszystkim przedsiębiorców, których określa następująco: jest to osoba fizyczna, osoba prawna albo jednostka organizacyjna nieposiadająca osobowości prawnej, której odrębna ustawa przyznaje zdolność prawną, prowadząca we własnym imieniu działalność gospodarczą lub zawodową. Najważniejsze treści w stosunku do przedsiębiorców, którzy zainteresowani są utrzymaniem ciągłości działania, znajdują się w rozdziale IV, który określa możliwości prowadzenia postępowania naprawczego w razie zagrożenia niewypłacalności firmy.

3. Ustawa o zarządzaniu kryzysowym (Dz. U. Nr 89 poz. 590 z dnia 21 maja 2007 r. z późn. zm.) to przede wszystkim akt prawny, który dotyczy organów administracji publicznej. Art. 2 tej ustawy określa : „Zarządzanie kryzysowe to działalność organów administracji publicznej będąca elementem kierowania bezpieczeństwem narodowym, która polega na zapobieganiu sytuacjom kryzysowym, przygotowaniu do przejmowania nad nimi kontroli w drodze zaplanowanych działań, reagowaniu w przypadku wystąpienia sytuacji kryzysowych, usuwaniu ich skutków oraz odtwarzaniu zasobów i infrastruktury krytycznej.” W ustawie zostały określone nowe definicje np. sytuacja kryzysowa, infrastruktura krytyczna, planowanie cywilne itp. Jej wadą jest brak odniesienia do przedsiębiorstw. Ostatnia aktualizacja z dnia 17 lipca 2009 r. o zmianie ustawy o zarządzaniu kryzysowym (Dz. U. z dnia 19 sierpnia 2009 r.) w wersji projektu, posiadała rozszerzenie o: projekt Rozporządzenia Rady Ministrów w sprawie Narodowego Programu Ochrony Infrastruktury Krytycznej i projekt Rozporządzenia Rady Ministrów w sprawie planów ochrony infrastruktury krytycznej. Oba projekty zostały, w formie Rozporządzeń Rady Ministrów, zatwierdzone i umieszczone w Dz. U. Nr 83 poz. 541 i 542. Szczególnie ten drugi projekt jest krokiem milowym w opracowywaniu dokumentacji przez przedsiębiorstwa w zakresie UCD. Wymagania związane z kształtem tego opracowania wskazują na to, że odnosi się do rzeczywistości, w odróżnieniu do archaicznego np. Planu obrony cywilnej, który nie pasuje do dzisiejszych czasów i wymaga dużego retuszu. Sprawa jest o tyle poważna, że obrona cywilna uwarunkowana jest odpowiednimi przepisami międzynarodowymi, które Polska ratyfikowała w 1991 roku
i musi ich przestrzegać.

Wspomniane powyżej Rozporządzenie w sprawie planów ochrony infrastruktury krytycznej, jest pewnym rozwiązaniem problemu związanego z wykonywaniem dokumentacji z zakresu ogólnie pojmowanego bezpieczeństwa zakładów pracy. Wg zapisów ujętych w w/w rozporządzeniach, plany ochrony infrastruktury krytycznej (§ 2) powinny ujmować następujące zagadnienia:
1) dane ogólne:
a) obejmujące nazwę i lokalizację infrastruktury krytycznej,
b) pozwalające zidentyfikować operatora infrastruktury krytycznej: nazwa, adres i siedziba, numery REGON, NIP i KRS,
c) pozwalające zidentyfikować zarządzającego przedsiębiorstwem w imieniu operatora infrastruktury krytycznej: nazwa, adres i siedziba, numery REGON, NIP i KRS,
d) obejmujące w zakresie niezbędnym do realizacji zadań wynikających z ustawy z dnia 26 kwietnia 2007 r. o zarządzaniu kryzysowym, zwanej dalej „ustawą” — dane służbowe osoby, o której mowa w art. 6 ust. 5a ustawy, odpowiedzialnej za utrzymywanie kontaktów z podmiotami właściwymi w zakresie ochrony infrastruktury krytycznej,
e) obejmujące imię i nazwisko osoby sporządzającej plan;
2) dane infrastruktury krytycznej obejmujące:
a) charakterystykę i podstawowe parametry techniczne,
b) plan (mapę) z naniesieniem lokalizacji obiektów, instalacji lub systemu,
c) funkcjonalne połączenia z innymi obiektami, instalacjami, urządzeniami lub usługami;
3) charakterystyka:
a) zagrożeń dla infrastruktury krytycznej oraz oceny ryzyka ich wystąpienia wraz z przewidywanymi scenariuszami rozwoju zdarzeń,
b) zależności infrastruktury krytycznej od pozostałych systemów infrastruktury krytycznej oraz możliwości zakłócenia jej funkcjonowania w wyniku zakłóceń powstałych w pozostałych systemach infrastruktury krytycznej,
c) zasobów własnych możliwych do wykorzystania w celu ochrony infrastruktury krytycznej,
d) zasobów właściwych terytorialnie organów, możliwych do wykorzystania w celu ochrony infrastruktury krytycznej;
4) zasadnicze warianty:
a) działania w sytuacji zagrożenia lub zakłócenia funkcjonowania infrastruktury krytycznej,
b) zapewnienia ciągłości funkcjonowania infrastruktury krytycznej,
c) odtwarzania infrastruktury krytycznej;
5) zasady współpracy z właściwymi miejscowo:
a) centrami zarządzania kryzysowego,
b) organami administracji publicznej.

Uwzględniając powyższe, należy zadać sobie pytania,
1) Czy powyżej przytoczony schemat planu może być zastosowany przez wszystkie firmy w Polsce?
2) Jakie kryteria należy spełnić, aby firma była zobligowana do obowiązku opracowania takiego planu?
4. Inne polskie przepisy prawne. W rzeczywistości, w każdym ważniejszym akcie prawnym znajdziemy zapisy kształtujące filozofię UCD. By je sobie uświadomić, należy je dogłębnie przestudiować. Do tych dokumentów należy zaliczyć przede wszystkim: Kodeks cywilny, Kodeks spółek handlowych, Ustawę o ochronie danych osobowych, Prawo budowlane wraz z rozporządzeniami o bezpieczeństwie osób, budynków i infrastruktury, Prawo bankowe i inne branżowe.

Niezależnie od ilości przepisów występujących w danym kraju, najważniejszym jest zapoznanie się z nimi i wybranie oraz zastosowanie we własnym przedsiębiorstwie tych najbardziej odpowiednich, gwarantujących utrzymanie ciągłości działania.

Celowość opracowania Planów Zarządzania Kryzysowego – Planów Ciągłości Działania
Plany Zarządzania Kryzysowego opracowuje się wraz z Planami Ciągłości Działania dla firm, które chcą się zabezpieczyć przed ewentualnością wystąpienia wszelkiego rodzaju kryzysów. Mogą one mieć charakter wewnętrzny bądź zewnętrzny.
Aby taki dokument wykonać, należy uzyskać pełne informacje o zakładzie pracy z zakresu administracyjnego, kadrowego, finansowego, technologicznego i zagrożeń wynikających
z usytuowania zakładu. Następnie tworzy się najgorszy prawdopodobny scenariusz zdarzeń jakie mogą wystąpić w zakładzie. Po opracowaniu scenariusza możliwych zdarzeń opracowuje się szczegółowe procedury awaryjne i odtwarzające funkcjonowanie firmy. Zakończeniem planów jest ich testowanie oraz aktualizacja na bazie doświadczeń wynikających z testów i ćwiczeń.

Opracowanie takiego dokumentu daje szansę na funkcjonowanie firmy chociaż w minimalny sposób i na zwolnionych obrotach w sytuacji kryzysowej, to wyraz społecznej
i biznesowej odpowiedzialności firmy, troski o pracowników i strategiczne zasoby, które decydują o działalności po katastrofie. Posiadanie planu jest wyrazem odpowiedzialności zarządów firm za losy ich zakładów oraz czytelnym sygnałem wysyłanym pod adresem inwestorów, akcjonariuszy i klientów. Dodatkowo stanowi kartę przetargową
w udowodnieniu prokuratorowi i ubezpieczycielowi, że zrobili wszystko aby zabezpieczyć firmę przed katastrofą oraz postępowali właściwie, zgodnie z procedurami w trakcie zdarzenia. Posiadanie ww. dokumentów powinno mieć wpływ na ustalanie wagi ryzyka
i wysokości składki ubezpieczeniowej.

Celowość opracowania procedur do procesu korporacyjnego zarządzania ryzykiem
Zarządzanie ryzykiem, to zarządzanie firmą z uwzględnieniem ryzyka, tak aby osiągnąć cel biznesowy. Proces zarządzania ryzykiem ma dwa główne cele:
1. obniżenie kosztów ryzyka, tzn. kosztów ewentualnej reakcji na wynikłe w wyniku realizacji ryzyka straty, kosztów pokrycia tych strat oraz kosztów działań prewencyjnych
2. zapobieganie sytuacjom kryzysowym.

Pomimo posiadania profesjonalnie opracowanych Planów Zarządzania Kryzysowego bezdyskusyjnym jest fakt, że należy zrobić wszystko, aby zapobiec zaistnieniu sytuacji kryzysowych. Wiążą się one bowiem z ponoszeniem ogromnych strat, które nawet jeżeli
w całości zostaną zrekompensowane przez zakład ubezpieczeń, to i tak pozostaje problem utraty klientów, utraty reputacji, a często całkowitego zaprzestania działalności firmy.
Proces zarządzania ryzykiem w fazie szacowania ryzyka pozwala ustalić wagę ryzyk
i określić ryzyka krytyczne mogące doprowadzić do utraty ciągłości działania firmy poprzez zaistnienie sytuacji kryzysowej.

Raport z szacowania ryzyka wskazuje na konieczność stworzenia planów zarządzania kryzysowego i ciągłości działania, czasem w całkiem nieoczekiwanych obszarach działalności firmy. Głównie jednak wskazuje na to co należy zrobić, aby nie dopuścić do zaistnienia sytuacji kryzysowej i przerwania ciągłości działania.
Posiadając opracowane procedury do korporacyjnego zarządzania ryzykiem działa się
i raportuje w sposób ciągły i systemowy.

Literatura:
1. Tadeusz Teofil Kaczmarek, Grzegorz Ćwiek – „Ryzyko kryzysu a ciągłość działania” – Wydawnictwo DIFIN – Warszawa 2009 rok
2. Ian I. Mitroff, Christie M. Pearson – „Zarządzanie sytuacją kryzysową, czyli jak ochronić firmę przed najgorszym” Business Press – Warszawa 1998 rok
3. Renata Davidson – „Strach się bać” – Sukces – Warszawa 2006 rok
4. Franciszek R. Krynojewski, Sławomir Mazur, Grzegorz Mikrut, Piotr Tchorzewski – „Zarządzanie kryzysowe, obrona cywilna kraju, ochrona informacji niejawnych” AWF Katowice – 2003 rok