Jacek Rembikowski, Poznań 2009
Incydent jest to zdarzenie, które chcemy aby drugi raz nie wystąpiło, a które ma wpływ na ciągłość prowadzonych działań biznesowych, dla których zagrożeniem mogą być konsekwencje, wynikające z przestoju, kar lub utraty aktywów czy też właściwej komunikacji, czyli jak to określa norma z utraty dostępności, poufności i integralności.
O ile same incydenty generalnie dzielimy z punktu widzenia wagi konsekwencji, jakie mogą z nich wynikać, o tyle w ramach działań naprawczych wg ogólnie przyjętych definicji rozróżniamy generalnie trzy typy:
Korekcję – czyli działania, mające na celu usunięcie bezpośredniego skutku wystąpienia incydentu.
Działania korygujące – czyli działania, pozwalające na usunięcie przyczyny wystąpienia incydentu.
Działania zapobiegawcze – czyli działania, pozwalające usunięcie potencjalnej przyczyny, a więc czegoś co przewidujemy, że kiedyś może stanowić źródło incydentu.
Aby lepiej zobrazować pojęcie incydentu i sposobu postępowania posłużmy się przykładem rzeczywistego zdarzenia, które aby nie wskazywać rzeczywistego miejsca wystąpienia ubrane zostało w trochę inne „szaty”.
Na terenie przedsiębiorstwa aby w pewien sposób ułatwić życie pracownikom wydzielono teren z pomieszczeniami, w którym pracownicy mogli przechowywać swoje rzeczy, w tym m.in. rowery, skutery zwłaszcza w porze zimowej i jesiennej, kiedy jak wiadomo aura nie sprzyja pozostawianiu tego typu sprzętu na wolnym powietrzu. Całość znajdowała się na terenie przyległym do biurowca, z możliwością wejścia od strony ulicy. Klucze do bramy posiadali jedynie pracownicy korzystający z tego terenu i pomieszczeń. Pewnego dnia jedna z osób, niemająca nic wspólnego z przechowywanymi tam przedmiotami, stwierdziła obecność na tym terenie osób postronnych. Postanowiła niezwłocznie zgłosić ten fakt przełożonym. Pech chciał, że nikogo z nich nie było akurat w firmie, więc po otrzymaniu zgłoszenie, zawiadomili niezwłocznie firmę ochroniarską oraz policję. Ten o dziwo pojawiły się dość sprawnie pod wskazanym adresem, rozpoczynając dochodzenie.
W międzyczasie do działań dołączyło kierownictwo, wracające ze spotkania, a całemu zajściu przyglądało się dodatkowo jeszcze kilku pracowników, bo śledczych jak wiadomo nigdy za wiele.
W wyniku dochodzenia okazało się, że widziane na terenie firmy osoby postronne to nikt inny, jak po prostu członkowie rodzinny jednego z pracowników. Co więcej wcale się nie włamywali, tylko zwyczajnie korzystając z klucza i bramy weszli na ów wydzielony skrawek firmowego terenu.
W czym zatem problem skoro z jednej strony mamy przecież do czynienia z mieniem pracowników, z drugiej z osobami posiadającymi prawo do tego mienia? A no problem leży w komunikacji i wynikającym z jej braku incydencie przebywania bądź, co bądź osób trzecich na terenie zamkniętym, należącym do firmy. Cały problem leżał w tym, że osoba, która przekazała klucze do bramy, nie poinformowała o tym nikogo. Osoba, która natomiast zgłosiła problem, postąpiła właściwie, nie próbując udawać bohatera i samemu dochodząc przyczyny obecności osób postronnych na terenie firmy. Prawidłowo też zachowały się osoby z kierownictwa, zgłaszając sprawę do właściwych organów. Efektem całego zdarzenia było natomiast wstrzymanie prac niejednej osoby z powodu sytuacji, której można by uniknąć. Dodatkowo incydent ten spowodował narażenie firmy na koszty, związane z interwencją, niemającą nic wspólnego z działaniem szkodliwym. Co było złe?
Po pierwsze przekazanie uprawnień osobom trzecim, czyli umożliwienie samodzielnego poruszania się po terenie firmy osób postronnych. Po drugie, niepoinformowanie nikogo z firmy o tym, że ktoś z rodziny odbierze rower, co w tej sytuacji najprawdopodobniej by wystarczyło. Patrząc na przywołaną sytuację wprost mamy incydent z zakresu naruszenie bezpieczeństwa fizycznego, a więc udzielenie praw dostępu bez wiedzy przełożonych. Skutki to całkiem niepotrzebne nerwy po stronie wszystkich uczestników, także i tych domniemanych włamywaczy oraz koszty wynikające z interwencji, których być nie powinno. Co zatem uczyniono w ramach naprawy sytuacji? Zgodnie z logiką, bo do niej norma nie jest potrzebna przeprowadzono działania korekcyjne, poprzez odebranie kluczy oraz przeprowadzono działania korygujące czyli przeprowadzono, że tak ją nazwijmy pogadankę edukacyjną z osobą, która była winna całej tej sytuacji. To, czy powinno się pójść o krok dalej i przyjąć działania na przyszłość w postaci ustalenia czy w innych obszarach działania firmy taka sytuacja nie może mieć miejsca i opracowania w związku z tym stosownych procedur, to oczywiście należałoby rozważyć odpowiednio do warunków otoczenia ale gdyby takową procedurą kazano się komuś zająć, zahaczylibyśmy o działania zapobiegawcze. Oczywiście warto też dodać na konie, że osoba, która zgłosiła fakt przebywania obcych na terenie firmy została nagrodzona przez szefostwo w postaci okolicznościowej premii, ale to już nie wynik działania wg normy tylko kultura zarządzania i to wysoka.
Jak widać można zadziałać zgodnie z tym co jest napisane w normach, czy rekomendacjach bo generalnie nie ma w nich nic bezsensownego. Inna kwestia to znaleźć klucz, który pozwoli nam się w tych zagadnieniach prawidłowo poruszać, co pozwoli nam na rzetelną i pewną odpowiedź na coś, co w ramach PBI zaczyna się od słów: Kierownictwo powinno upewnić się, że…