Zapewnianie bezpieczeństwa transportu, jako systemu infrastruktury krytycznej państwa, w konwencji triady ryzyka operacyjnego

Transkrypt

1 ZAWIŁA-NIEDŹWIECKI Janusz 1 Zapewnianie bezpieczeństwa transportu, jako systemu infrastruktury krytycznej państwa, w konwencji triady operacyjnego WSTĘP Niniejszy artykuł referuje rozważane podstawy metodyczne projektu (prowadzonego w ramach umowy z NCBiR z konkursu 3/2012 na wykonanie projektów w zakresie badań naukowych i projektów rozwojowych na rzecz obronności i bezpieczeństwa państwa) przez konsorcjum: Akademia Obrony Narodowej, Centrum Naukowo-Badawcze Ochrony Przeciwpożarowej, Politechnika Warszawska (Wydział Zarządzania), Szkoła Główna Służby Pożarniczej, Medcore sp. z o.o. Celem projektu, wyrażonym w jego nazwie, jest opracowanie metodyki oceny w ochronie infrastruktury krytycznej państwa. Pojęcie infrastruktury krytycznej państwa, branż i systemów ją stanowiących oraz obowiązków nakładanych na operatorów tych systemów reguluje ustawa o zarządzaniu kryzysowym [7,10]. Transport jako branża, systemy transportowe oraz operatorzy tych systemów są objęci działaniem tej ustawy. Oczywistym początkiem prac było zinterpretowanie oczekiwań docelowego beneficjenta projektu, którym na szczeblu centralnym jest Rządowe Centrum Bezpieczeństwa, a na szczeblach niższych (aż do gminy) odpowiednie centra/komórki/stanowiska zarządzania kryzysowego. Przede wszystkim ustalono, że użycie określenia metodyka oraz charakter beneficjentów i stopień ich przygotowania do wykonywania zadań oceny wskazuje na potrzebę sprecyzowania wytycznych organizowania procesu oceny, czyli de facto analizy problemowej o istotnym zakresie twórczego poszukiwania rozwiązań. W tym względzie podstawowym wzorcem organizowania prac analitycznych jest idea foresight opisana i przebadana w toku projektów regionalnych [1, 6], a źródłem technik organizowania i pobudzania twórczego myślenia są syntetyzujące badania Wydziału Zarządzania Politechniki Warszawskiej [3]. Natomiast co do istoty projektu, tj. oceny, zdecydowano się wyjść poza dotychczasowe koncepcje zarządzania kryzysowego jako zdecydowanie zorientowane tylko na organizowanie postaw społecznych i działań ratowniczych [9]. Odwołano się do analogii między zarządzaniem kryzysowym a zapewnianiem ciągłości działania podmiotów gospodarczych. Oparto się na niedawno sformułowanej koncepcji triady problemowej: ryzyko operacyjne bezpieczeństwo zasobowe ciągłość działania organizacji (dalej triada RBC) [12]. W jej ramach sformułowane zostały podstawy metodyczne, definicje i klasyfikacje oraz rekomendowany tok postępowania analitycznego i projektowego prowadzący od ustalenia zagrożeń do rozwiązań prewencji wobec nich oraz rozwiązań reagowania, gdy zagrożenia się spełnią. Nie przesądzając jak będzie wyglądać rezultat wspomnianego projektu, w artykule omówiona zostaje istota koncepcji triady RBC, ważna dla systemów transportu nie tylko w kontekście zarządzania kryzysowego państwa, ale w równym stopniu w sensie utrzymywania operacyjnej ciągłości działania aktywności biznesowej. 1. GENERALNY KONTEKST TEORETYCZNY Każda organizacja gospodarcza powstaje z myślą o określonej użyteczności. Oczekiwania te w pierwszej kolejności odnoszone są do rezultatów działania organizacji, ale równie ważne jest, aby samo działanie było sprawne, a w konsekwencji rozsądne kosztowo. Zamierzeniem jest więc utworzenie organizacji skutecznej i efektywnej. W praktyce jednak jej działalność napotyka na przeszkody w realizacji zadań biznesowych. Są one częściowo pochodną, które towarzyszy 1 Politechnika Warszawska, Wydział Zarządzania, Warszawa, ul. Narbutta 85, tel

2 konkurowaniu licznych na rynku podmiotów, a odnosi się do produktów (usług) organizacji oraz jej klientów i relacji z nimi. Część przeszkód dotyka wewnętrznych rozwiązań organizacji, z czym organizacja powinna umieć sobie radzić. To powoduje radykalny wzrost zainteresowania ryzykiem, które staje się znaczącym problemem zarządzania. Fakt ten nie jest spowodowany wyłącznie kumulacją dotychczasowej wiedzy. Wynika on bardziej z tego, że zdecydowane trendy liberalizacji i globalizacji w gospodarce światowej doprowadziły do niespotykanego dotąd zintensyfikowania konkurencji rynkowej. Środowisko techniczne Środowisko biznesowe Teoria niezawodności technicznej organizacją Ryzyko, bezpieczeństwo ciągłość kryzysowe Środowisko społeczne Teoria organizacji i zarządzania Rys. 1. Związki zarządzania ryzykiem, zapewnianiem bezpieczeństwa i zapewnianiem ciągłości działania (w ramach teorii organizacji i zarządzania) z teorią niezawodności technicznej oraz zarządzaniem kryzysowym Źródło: [11]. Szczególną konsekwencją narastania konkurencji jest wdrażanie coraz bardziej wyrafinowanych rozwiązań organizacji pracy, co naraża na specyficzny rodzaj, bezpośrednio związanego z działaniem organizatorskim oraz dyspozycyjnością zasobów wewnętrznych [4]. Ryzyko to nazywane jest operacyjnym i jest niedawno wyodrębnioną kategorią. Jest to ryzyko strat materialnych i reputacyjnych oraz odpowiedzialności prawnej, wynikających z niedostosowania lub zawodności procesów i niezbędnych dla nich zasobów (osobowych, materialnych, informacyjnych i finansowych), a powstających w wyniku zakłóceń będących następstwem oddziaływania zagrożeń wewnętrznych i zewnętrznych [12, s.62]. Reagowanie na ryzyko operacyjne można postrzegać tak z perspektywy technicznej, jak i biznesowej oraz społecznej, co zilustrowano rysunkiem 1. Przy czym postępowanie, które bezpośrednio dotyka istoty operacyjnego i pozwala na wpływanie na jego poziom, polega na świadomie łączonej prewencji (rozwiązania zabezpieczające przed ryzykiem, możliwe dzięki rozumieniu jego istoty i przyczyn) oraz wypraktykowanej umiejętności przeprowadzania terapii (rozwiązania umożliwiające kontynuowanie działania). Obie te kwestie są kwintesencją pojmowania operacyjnego jako triady RBC. Szczególnie istotne dla wyrażenia umiejętności kontrolowania poziomu jest utrzymywanie zdolności do zachowania ciągłości działania. Po pierwsze, jest to postulatem doskonałości systemu 7032

3 działania, jakim jest każda organizacja. W tym sensie zapewnianie ciągłości działania jest przedmiotem zarządzania strategicznego, wyraża cel nadrzędny sprawności organizacji i obejmuje prymat w obszarze zarządzania ryzykiem operacyjnym. W perspektywie strategicznej dodatkowo pozostaje zagadnieniem z pogranicza dyscyplin: ekonomii i nauk o zarządzaniu. Po drugie, ciągłość działania jest rozumiana jako postępowanie organizatorskie tworzące zdolność organizacji do skutecznego reagowania w sytuacji zaistnienia zakłócenia będącego wynikiem swoistej interakcji przejawów zagrożenia z wewnętrzną podatnością organizacji, jej infrastruktury, zasobów lub rozwiązań zorganizowania. W tym sensie zapewnianie ciągłości działania jest przedmiotem zarządzania operacyjnego i stanowi ostatnie ogniwo zarządzania ryzykiem operacyjnym [8]. 2. STRUKTURA TRIADY RBC Logiczną konsekwencją uświadomienia, zidentyfikowania i oceny jest poszukiwanie rozwiązań zabezpieczających i naprawczych. W szczególności wart jest podkreślenia synergiczny związek zagadnień zapewniania bezpieczeństwa i zapewniania ciągłości działania. Z perspektywy zadań stawianych zapewnianiu ciągłości działania wszelkie poczynania na rzecz bezpieczeństwa mają charakter prewencji. ryzykiem operacyjnym R1 R1 R2 R3 R5 R4 B1 TSM zapewnianiem bezpieczeństwa B2 B4 B3 C5 C6 C1 zapewnianiem ciągłości działania C4 C3 C2 Rys. 2. Zintegrowane zarządzanie ryzykiem operacyjnym, zapewniania bezpieczeństwa i zapewniania ciągłości działania. Źródło: [12, s. 131]. 7033

4 Legenda do rysunku 2. TSM (total security management) zintegrowane zarządzanie ryzykiem operacyjnym, bezpieczeństwem i ciągłością działania. R1 identyfikacja R2 analiza i oszacowanie R3 monitorowanie R4 ograniczanie R5 planowanie doskonalenia B1 analiza potrzeb i rozwiązań B2 określanie standardów wewnętrznych B3 audytowanie przestrzegania standardów B4 wykrywanie naruszania bezpieczeństwa, powrót do analizy C1 wstępne rozpoznanie zadania C2 przygotowanie projektu C3 analiza potrzeb i rozwiązań C4 projektowanie rozwiązań C5 wdrażanie rozwiązań C6 kontrola, a po jej zakończeniu powrót do fazy analizy C3 Z kolei z perspektywy zapewniania bezpieczeństwa, rozwiązania ciągłości działania są reakcją naprawczą wobec nieskutecznej ochrony. Wynika z tego także rola racjonalnego (tam, gdzie nie działa obowiązek prawny, a istotna jest tylko gra czynników biznesowych) przypisywania znaczenia z jednej strony zapewnianiu bezpieczeństwa (gdy lepiej nie dopuszczać do zakłóceń), a z drugiej poszukiwaniu zastępczych warunków ciągłości działania (gdy ochrona jest nieracjonalna ekonomicznie lub nieskuteczna). Oba te elementy, osadzone w rozwiązaniach jakościowego stałego doskonalenia, zapewniają organizacji elastyczność wobec, tj. panowanie nad ryzykiem polegające na racjonalnym rozłożeniu akcentów pomiędzy prewencję wobec zagrożeń dla działania organizacji a zaprojektowane reagowanie na występowanie zakłóceń. W gruncie rzeczy używając pojęcia - zarządzanie ryzykiem operacyjnym - obejmuje się nim panowanie nad triadą zagadnień Ryzyko-Bezpieczeństwo-Ciągłość. Ponad to zarządzanie ryzykiem operacyjnym rozumianym jako triada RBC jest kwintesencją zarządzania, podejmując w samej swej istocie kwestie skuteczności, sprawności i efektywności działania organizatorskiego. 3. ZARZĄDZANIE RYZYKIEM OPERACYJNYM Planowanie Ocena Wpływanie na ryzyko Monitorowanie Identyfikacja Analiza Audyt Dokumentowanie w ramach zarządzania ryzykiem Rys. 3. Funkcjonalny model zarządzania ryzykiem. Źródło: [2]. Warunkiem skuteczności zarządzania ryzykiem jest zastosowanie podejścia procesowego, co pokazuje rysunek 3. Kluczowa w nim jest identyfikacja, tzn. zagrożeń, które wyrażają ryzyko 7034

5 w konkretnych warunkach działania. Znajomość jest bowiem najważniejszym krokiem w zapanowaniu nad nim i warunkuje jego szczegółową analizę i monitorowanie. Weryfikację poprawności i skuteczności tego zarządzania stanowi okresowy audyt, co w modelu zarządzania ryzykiem stanowi kontrolne sprzężenie zwrotne, które pozwala nadać procesowi kształt spirali doskonalenia. W praktyce, poszczególne działania procesu zarządzania ryzykiem przenikają się wzajemnie, a ponadto należy pamiętać, że proces ten nie jest wypreparowany z innych procesów zarządzania, lecz silnie z nimi zintegrowany. Mając to na uwadze, można zarządzanie ryzykiem podzielić na etapy i kroki, co jest potrzebne również do tego, żeby zapewnić funkcjonowanie procesu zarządzania ryzykiem na zasadzie spirali doskonalenia [5, s ]. I Etap Ocena : identyfikacja, analiza, oszacowanie skali, ustalenie hierarchii. II Etap Aktywne podejście do (określane też jako wpływanie na ryzyko lub manipulowanie ryzykiem): eliminowanie (unikanie), ograniczanie (w tym prewencja), segmentowanie, podział, transfer, finansowanie, (a w pewnych przypadkach) tolerowanie. III Etap Monitorowanie podejście społeczne skierowane na zagrożenia dla człowieka, podejście gospodarcze nakierowane na sprawność funkcjonowania organizacji, systematyczna kontrola, sterowanie ryzykiem. WNIOSKI Warta polecenia jest zaproponowana w [12, s ] klasyfikacja rodzajów operacyjnego oparta na kryteriach typowych dla teorii organizacji. Pozwala ona na systematyczną analizę aspektów organizacyjnych prowadzonej działalności w celu wyselekcjonowania możliwych zagrożeń, które następnie można poddać analizie co do ich przyczyn, skutków oraz podatności organizacji sprzyjających spełnianiu się tych zagrożeń. Logiczną reakcją organizacji na zakłócenia jest budowanie mechanizmu homeostazy, opartej na monitorowaniu zagrożeń, neutralizowaniu ich, a gdy to się nie uda, na przywracaniu stanu sprzed zakłócenia, a do tego czasu zapewnianiu form działania zastępczego. Postępowanie takie jest wyrazem racjonalnego reagowania na nieuniknione ryzyko, co powinno uwzględniać zintegrowanie zapewniania bezpieczeństwa jako prewencji wobec zagrożeń oraz zapewniania ciągłości działania jako terapii wobec zakłóceń. Organizacja mechanizmów zarządzania ryzykiem w przedsiębiorstwie może być wspierana wzorcami dobrych praktyk. Są nimi po pierwsze normy, np.: serii PN/ISO 2700X - Systemy zarządzania ryzykiem i bezpieczeństwem informacji, serii ISO 310XX ryzykiem, ISO Systemy zapewniania ciągłości działania. Po drugie są to metody badania dojrzałości zarządzania ryzykiem, bezpieczeństwem, ciągłością działania [12, s. 50, 92, 128]. Streszczenie Ustawa o zarządzaniu kryzysowym traktuje (co oczywiste!) transport jako tzw. branżę infrastruktury krytycznej państwa. Wobec tego systemy transportowe i ich operatorzy są zobligowani do rozważania zagrożeń dla ich funkcjonowania także z perspektywy zadań publicznych państwa. Wyzwania związane ze sprawnym 7035

6 funkcjonowaniem systemów transportowych mają charakter tzw. operacyjnego. Operatorom infrastruktury krytycznej wszystkich jej branż potrzebne jest wskazanie jednolitego podejścia metodologicznego. Zadanie takie jest realizowane poprzez konkursy przeprowadzane przez NCBiR na projekty w zakresie badań naukowych oraz prac rozwojowych na rzecz bezpieczeństwa państwa. Wydział Zarządzania Politechniki Warszawskiej uczestniczy w projekcie zleconym przez NCBiR nt. Metodyka oceny w ochronie infrastruktury krytycznej państwa. Podstawą metodyki stała się niedawno sformułowana koncepcja triady problemowej opisującej panowanie nad ryzykiem operacyjnym. Artykuł prezentuje istotę tej koncepcji. Ensuring the security of transport, as a critical infrastructure system state in the convention of triad of operational risk Abstract Polish Crises Management Act treats (of course!) Transport as a critical infrastructure sector of the state. Therefore, the transport systems and their operators are obliged to consider the risks to their functioning also from the perspective of public tasks of the state. Challenges related to the efficient functioning of transport systems are called operational risk. Operators of critical infrastructure of all its branches is needed to indicate a uniform methodological approach. Such a task is realised through competitions conducted by NCBiR to projects in the field of research and development work for the security of the state. Warsaw University of Technology Faculty of Management participates in a project commissioned by the NCBiR on " Methodology of risk assessment in the protection of critical infrastructure of the state". The methodology has recently based on the concept of the problems triad describing the management of operational risk. This paper presents the essence of the concept. BIBLIOGRAFIA 1. Borodako K., Foresight w zarządzaniu strategicznym. C.H.Beck, Warszawa Conrow E.H., Effective Risk Management. Some Keys to Success. American Institute of Aeronautics and Astronautics Inc., Reston Kosieradzka A. (red.), Metodyki i techniki pobudzania kreatywności w organizacji i zarządzaniu. edu-libri, Kraków-Warszawa Krupski R., Rozwój szkoły zasobów zarządzania strategicznego. Przegląd Organizacji nr 4/ Loader D., Operations Risk Managing a Key Component of Operational Risk. Butterworth- Heinemann, Oxford Nazarko J., Regionalny foresight gospodarczy. Metodologia i instrumentarium badawcze. ZPWiM, Warszawa Skomra W., kryzysowe praktyczny przewodnik po nowelizacji ustawy. Presscom, Wrocław Staniec I., Zawiła-Niedźwiecki J. (red.), ryzykiem operacyjnym, C.H.Beck, Warszawa Tyrała P., kryzysowe. Wydawnictwo Adam Marszałek, Toruń Ustawa z dnia 26 kwietnia 2007 r. o zarządzaniu kryzysowym z późn. zm. (tekst ujednolicony z dnia ) 11. Zawiła-Niedźwiecki J., Ciągłość działania organizacji. Oficyna Wydawnicza Politechniki Warszawskiej, Warszawa Zawiła-Niedźwiecki J., ryzykiem operacyjnym w zapewnianiu ciągłości działania organizacji. edu-libri, Kraków