Analiza scenariuszowa (scenario analysis)

W metodzie tej scenariusze są przewidywane/prognozowane, bierze się pod uwagę różne rodzaje ryzyka mogące wystąpić w każdym z nich. Możemy rozwa-żyć „najlepszą opcję”, „najgorszą opcję”, „spodziewaną opcję”. Analiza scena-riuszy może być pomocna w planowaniu przyszłej polityki i strategii, a także rozważaniu bieżących aktywności. Pokazuje, jak na rozwój sytuacji wpływają szanse i zagrożenia. Analiza scenariuszowa może być przydatna podczas wyko-nywania planów zarządzania kryzysowego np. dla obszaru gminy (poniżej przy-kład takiej analizy), jednak może mieć bardzo różne formy.

Opis sytuacji: trwające 10 dni intensywne opady deszczu spowodowały pod-niesienie poziomu wody w regionie oraz w górnej części rzeki. Gmina posiada zabezpieczenie przeciwpowodziowe w postaci wałów przeciwpowodziowych, jednak są one w nie najlepszym stanie i od kilku lat nie były modernizowane.

Konieczne jest podjęcie decyzji, jakie kroki należy podjąć, by zminimalizować ewentualne straty, ale trzeba liczyć się z faktem, że fundusze są ograniczone.

Dlatego opracowano trzy scenariusze.

Scenariusz I (najlepsza opcja)

W wyniku silnych opadów deszczu dochodzi do podniesienia się stanu wody nieznacznie powyżej stanu alarmowego, zalane zostają tylko nisko położone łąki, ale nie dochodzi do strat materialnych. Profilaktycznie sytuacja jest nadzo-rowana przez strażaków ochotniczej straży pożarnej, ale pozostaje stabilna i zagrożenie dla gminy szybko mija.

2. znać numer telefonu, pod którym możemy zastrzec kartę, a przynajm-niej numer infolinii swojego banku,

3. nie udostępniać nikomu numeru PIN i zasłaniać klawiaturę w bankoma-cie,

4. ubezpieczyć kartę (to oczywiście kosztuje, ale bank w razie kradzieży najczęściej zwraca całą kwotę).

Analiza „what if?” może być wykonana jako analiza jakościowa, ale również ilościowa – ze wskazaniem konkretnych wartości liczbowych oraz wartości prawdopodobieństwa. Analiza ilościowa jest trudniejsza, ponieważ wymaga od nas dokładnej specyfiki obszaru i doświadczenia w rozwiązywaniu problemów w tej dziedzinie.

2.13. Analiza scenariuszowa (scenario analysis)

W metodzie tej scenariusze są przewidywane/prognozowane, bierze się pod uwagę różne rodzaje ryzyka mogące wystąpić w każdym z nich. Możemy rozwa-żyć „najlepszą opcję”, „najgorszą opcję”, „spodziewaną opcję”. Analiza scena-riuszy może być pomocna w planowaniu przyszłej polityki i strategii, a także rozważaniu bieżących aktywności. Pokazuje, jak na rozwój sytuacji wpływają szanse i zagrożenia. Analiza scenariuszowa może być przydatna podczas wyko-nywania planów zarządzania kryzysowego np. dla obszaru gminy (poniżej przy-kład takiej analizy), jednak może mieć bardzo różne formy.

Opis sytuacji: trwające 10 dni intensywne opady deszczu spowodowały pod-niesienie poziomu wody w regionie oraz w górnej części rzeki. Gmina posiada zabezpieczenie przeciwpowodziowe w postaci wałów przeciwpowodziowych, jednak są one w nie najlepszym stanie i od kilku lat nie były modernizowane.

Konieczne jest podjęcie decyzji, jakie kroki należy podjąć, by zminimalizować ewentualne straty, ale trzeba liczyć się z faktem, że fundusze są ograniczone.

Dlatego opracowano trzy scenariusze.

Scenariusz I (najlepsza opcja)

W wyniku silnych opadów deszczu dochodzi do podniesienia się stanu wody nieznacznie powyżej stanu alarmowego, zalane zostają tylko nisko położone łąki, ale nie dochodzi do strat materialnych. Profilaktycznie sytuacja jest nadzo-rowana przez strażaków ochotniczej straży pożarnej, ale pozostaje stabilna i zagrożenie dla gminy szybko mija.

CZĘŚĆ I

ZAGADNIENIA OGÓLNE Z ZAKRESU ZARZĄDZANIA RYZYKIEM

Publikacja finansowana przez NCBiR w ramach projektu „Zintegrowany system budowy planów zarządzania kryzysowego w oparciu o nowoczesne technologie informatyczne” nr DOBR/0016/R/ID2/003

Scenariusz II (spodziewana opcja)

W wyniku silnych opadów deszczu dochodzi do podniesienia się stanu wody powyżej stanu alarmowego, który utrzymuje się przez kilka dni. Konieczne jest stałe nadzorowanie sytuacji na wałach przeciwpowodziowych i dokonywanie bieżących napraw w miejscach, w których wały zaczynają przeciekać. Naprawy polegają na układaniu worków z piaskiem i zabezpieczaniu wałów folią przed przeciekaniem. Do działań zaangażowano OSP, okoliczną ludność oraz lokal-nych przedsiębiorców posiadających sprzęt budowlany. Po kilku dniach sytuacja się stabilizuje, choć doszło do zalania łąk i pól w pobliżu rzeki, a woda przesiąkła do kilku piwnic bliżej znajdujących się domostw. Straty są akceptowalne.

Scenariusz III (najgorsza opcja)

W wyniku silnych opadów deszczu dochodzi do podniesienia się stanu wody powyżej stanu alarmowego, który utrzymuje się przez kilka dni. Konieczne jest stałe nadzorowanie sytuacji na wałach przeciwpowodziowych i dokonywanie bieżących napraw w miejscach, w których wały zaczynają przeciekać. Naprawy polegają na układaniu worków z piaskiem i zabezpieczaniu wałów folią. Mimo zintensyfikowania działań sytuacja staje się krytyczna i konieczne jest podjęcie decyzji o wysadzeniu wałów przeciwpowodziowych po tej stronie rzeki, na któ-rej znajduje się tylko kilka zabudowań gospodarskich, by uchronić przed zala-niem budynki mieszkalne i użyteczności publicznej znajdujące się po drugiej stronie rzeki. Po kilku dniach stan wody obniża się, konieczna jest pomoc finan-sowa dla mieszkańców, których budynki zostały zalane.

Analiza scenariuszowa może zostać użyta do opisania każdego rodzaju ryzy-ka, zarówno długo-, jak i krótkoterminowego. Podstawową wadą tej metody jest problem z opisaniem realistycznego rozwoju scenariusza przez osoby od-powiedzialne za jego stworzenie.

2.14. Analiza wpływu na działalność – BIA (business impact analysis)¹³⁴

Analizę taką przeprowadza się, by pokazać, jak poszczególne zagrożenia wpływają na funkcjonowanie organizacji i jakich przedsięwzięć wymagają.

134 Charakterystyka BIA przygotowana na podstawie: R. Kaszubski, D. Romańczuk (red)., Księga dobrych praktyk w zakresie zarządzania ciągłością działania, wyd. Związek Banków Polskich, Warszawa 2012.

CZĘŚĆ I

ZAGADNIENIA OGÓLNE Z ZAKRESU ZARZĄDZANIA RYZYKIEM

Publikacja finansowana przez NCBiR w ramach projektu „Zintegrowany system budowy planów zarządzania kryzysowego w oparciu o nowoczesne technologie informatyczne” nr DOBR/0016/R/ID2/003

Służy ona określenia ram czasowych i powiązanych zasobów niezbędnych do zapewnienia ciągłej realizacji zadań.

Do zalet tej metody można zaliczyć:

1. umożliwienie zrozumienia procesów, które zapewniają ciągłość działa-nia i osiągnięcie celu,

2. pokazanie niezbędnych zasobów,

3. zdefiniowanie procesu operacyjnego pozwalającego zwiększyć odpor-ność podmiotu¹³⁵.

Wadą jest trudność w odpowiednim zrozumieniu działalności podmiotu.

Analiza BIA stanowi podstawowe narzędzie wykorzystywane w procesie za-pewnienia ciągłości działania. Składa się ona z czterech elementów (etapów):

1. Działanie przygotowawcze: określenie obszaru analizy i celów, wybór metod, wyznaczenie ról i przypisanie do nich osób z organizacji, uzy-skanie wsparcia ze strony kierownictwa oraz szkolenia.

2. Gromadzenie danych: wypełnienie formularzy, określenie potencjal-nych strat, wymagań odtworzeniowych dla RTO¹³⁶ i RPO¹³⁷ oraz priory-tetów procesów odtworzeniowych.

3. Opracowanie wyników: weryfikacja RTO i RPO, wyznaczenie procesów krytycznych oraz określenie priorytetów procesów odtworzeniowych.

4. Wdrożenie: prezentacja wyników kierownictwu i ich zatwierdzenie oraz wprowadzenie w życie przygotowanych rozwiązań.

Analiza ta koncentruje się na procesie. Umożliwia spójną ocenę procesów oraz porównanie ich krytyczności. W procesie analizy wpływu na działalność termin ten należy rozumieć jako oczekiwaną wartość (względną lub bezwzględną) de-terminującą rzeczywisty wpływ (obiektywny lub subiektywny) danego zdarzenia na działalność podmiotu. Istotne jest przyjęcie jednolitej metody analizy, aby możliwe było porównanie krytyczności badanych procesów.

135 ISO/IEC 31010 Risk Management – Risk Assessment Techniques, s. 42-44.

136 RTO (ang. Recovery Time Objective) – parametr określający maksymalny czas po awarii po-trzebny do przywrócenia działania aplikacji, systemów i procesów biznesowych.

137 RPO (ang. Recovery Point Objective) – parametr określający moment w przeszłości, w którym po raz ostatni została wykonana kopia danych i do którego momentu działalności będzie można wrócić.

Służy ona określenia ram czasowych i powiązanych zasobów niezbędnych do zapewnienia ciągłej realizacji zadań.

Do zalet tej metody można zaliczyć:

1. umożliwienie zrozumienia procesów, które zapewniają ciągłość działa-nia i osiągnięcie celu,

2. pokazanie niezbędnych zasobów,

3. zdefiniowanie procesu operacyjnego pozwalającego zwiększyć odpor-ność podmiotu¹³⁵.

Wadą jest trudność w odpowiednim zrozumieniu działalności podmiotu.

Analiza BIA stanowi podstawowe narzędzie wykorzystywane w procesie za-pewnienia ciągłości działania. Składa się ona z czterech elementów (etapów):

1. Działanie przygotowawcze: określenie obszaru analizy i celów, wybór metod, wyznaczenie ról i przypisanie do nich osób z organizacji, uzy-skanie wsparcia ze strony kierownictwa oraz szkolenia.

2. Gromadzenie danych: wypełnienie formularzy, określenie potencjal-nych strat, wymagań odtworzeniowych dla RTO¹³⁶ i RPO¹³⁷ oraz priory-tetów procesów odtworzeniowych.

3. Opracowanie wyników: weryfikacja RTO i RPO, wyznaczenie procesów krytycznych oraz określenie priorytetów procesów odtworzeniowych.

4. Wdrożenie: prezentacja wyników kierownictwu i ich zatwierdzenie oraz wprowadzenie w życie przygotowanych rozwiązań.

Analiza ta koncentruje się na procesie. Umożliwia spójną ocenę procesów oraz porównanie ich krytyczności. W procesie analizy wpływu na działalność termin ten należy rozumieć jako oczekiwaną wartość (względną lub bezwzględną) de-terminującą rzeczywisty wpływ (obiektywny lub subiektywny) danego zdarzenia na działalność podmiotu. Istotne jest przyjęcie jednolitej metody analizy, aby możliwe było porównanie krytyczności badanych procesów.

135 ISO/IEC 31010 Risk Management – Risk Assessment Techniques, s. 42-44.

136 RTO (ang. Recovery Time Objective) – parametr określający maksymalny czas po awarii po-trzebny do przywrócenia działania aplikacji, systemów i procesów biznesowych.

137 RPO (ang. Recovery Point Objective) – parametr określający moment w przeszłości, w którym po raz ostatni została wykonana kopia danych i do którego momentu działalności będzie można wrócić.

CZĘŚĆ I

ZAGADNIENIA OGÓLNE Z ZAKRESU ZARZĄDZANIA RYZYKIEM

Publikacja finansowana przez NCBiR w ramach projektu „Zintegrowany system budowy planów zarządzania kryzysowego w oparciu o nowoczesne technologie informatyczne” nr DOBR/0016/R/ID2/003

Kluczowe działania to:

1. określenie strat finansowych i niefinansowych, na jakie organizacja jest narażona w sytuacji zatrzymania procesu/procesów,

2. określenie RTO, czyli czasu, po którego upływie określone straty są już dla organizacji nieakceptowalne,

3. określenie RPO, czyli akceptowalnego przez organizację poziomu utraty danych – na podstawie technicznych zdolności ich odtworzenia;

4. określenie priorytetów odtworzeniowych z uwzględnieniem: pracowni-ków, wyposażenia, systemów IT, niezbędnych danych oraz podmiotów współpracujących.

To właśnie ustalenie priorytetów pozwala na uporządkowanie działań podej-mowanych w sytuacjach kryzysowych.

Tabela 4. Przykład analizy wpływu na działalność – BIA¹³⁸ Zdarzenie Zagrożony

2.15. Matryca skutek/prawdopodobieństwo (consequence/probability