Dojrzałości organizacji rozpatruję się zawodowo z punktu widzenia bezpieczeństwa. Jednak przyglądając się już od ponad 25 lat, temu jak organizacje traktują ten obszar dochodzę do wniosku, że coś zaczyna się dziać. Coś w dobrym kierunku. Zauważenie, że bezpieczeństwo jest nierozerwalnie związane z funkcjonowaniem organizacji. Nie są to oddzielne byty. A stąd już dwa kroki do budowania prawdziwie odpornych i sprężystych organizacji. 

Diagnoza

Diagnozę, jako podstawiłem jakiś czas temu opiszę w innym wpisie. Dziś tylko dwa słowa wprowadzenia. Otóż w wielu przypadkach regulacje prawne zmusiły do tworzenia różnych wewnętrznych dokumentów w określonej strukturze i systemie. Spowodowało to, że obok normalnych procedur, np. zasad szkolenia mieliśmy i nadal mamy Instrukcję Bezpieczeństwa Pożarowego, która często zawiera np. dział o szkoleniu. BHP też ma swoje wymagania dotyczące szkolenia w dziedzinie BHP. I często te szkolenia to są “inne szkolenia” – cytując osoby zarządzające z kilku organizacji. 

A tymczasem to nie tak. Dopóki zarządzanie bezpieczeństwem będzie wyrzucone poza nawias zarządzania organizacją, nigdy nie będzie realnym dostawcą wartości dodanej dla niej. I trudno będzie osiągać cele synergicznie, w tym odporność dzięki której organizacja będzie trwać. 

Dojrzałość organizacji

Dojrzałość jest właśnie takim aspektem, który funkcjonuje zarówno w bezpieczeństwie jak i dotyczy samej organizacji. Podejście kompleksowe pozwala uzyskiwać naprawdę dobre efekty. Do pochylenia się nad tematem i nazwaniem go w ten sposób skłoniły mnie doświadczenia z audytów w latach 2000-2010. Około 2012 miałem już przygotowany wstępny zarys dojrzałości, w podziale na 4 fazy:

• Niemowlę
• Dziecko
• Młodzież
• Dojrzały

Później, w 2015 roku referowałem na konferencji BSI dotyczącej zarządzania ciągłością działania standard ISO 22325 (draft), w którym pojawiło się 9 grup wskaźników w 4 poziomach dojrzałości organizacji. Standard wspiera przygotowanie organizacji do zarządzania kryzysowego. 

Poniżej krótka charakterystyka każdej z faz organizacji. 

Niemowlę

Niemowlę, czy też noworodek to organizacja, w której najważniejszym ryzykiem jest to, czy jutro będzie mieć środki finansowe. Krótkoterminowe myślenie to naprawdę eufemizm. Podejście do ryzyka niemalże dramatyczne. Wymagania prawne rzadko spełnione, bo liczy się zarabianie kasy. A więc nie ma czasu “na pierdoły”. 

Horyzont planowania: 1-3 dni do 1 miesiąca. 

Dziecko

Tu już pojawia się myślenie na zasadzie “a co jeśli”. Podejście do ryzyka zmienia się, pojawiają się obawy o skuteczność działania regulatorów i nadzorców rynku (od kar finansowych, przez zatrzymania działania, wyłączenie budynków, linii, aż po zarzuty karne dla zarządzających). Zysk jest na tyle dobry, a do tego zaplanowany na kilka miesięcy naprzód, że zmienia to podejście do ryzyka. Pojawia się minimalizm i chęć bycia “compliant”, zgodnym z przepisami. W myśl zasady “aby mi nie przeszkadzali”

Horyzont planowania powyżej 6 miesięcy, ale rzadziej powyżej 3 lat. 

Młodzież

To już organizacje, które wiedzą, że nie wszystkie regulacje prawne są “od czapki”. Że Instrukcja Bezpieczeństwa Pożarowego to nie tylko wymóg prawny. To też sposób na zabezpieczenie majątku firmy. Wie o tym wiele firm, których hale produkcyjne się spaliły. Wiedzą też niektórzy odbiorcy w łańcuchu dostaw (np. pożar w Łodzi sprzed kilku lat mógł spowodować załamanie produkcji jednego z czołowych producentów AGD). 

Z tego myślenia pojawia się już chęć ułożenia bezpieczeństwa DOBRZE. To oznacza, że obok wymagań prawnych sięga się po standardy i normy. ISO, BS, BRC dla sektora spożywczego. W nadziei, że pomoże to działanie spełni nie tylko wymagania prawne, ale pozwoli działać. A więc już pojawia się chęć wdrożenia koncepcji związanej z ciągłością działania. 

Horyzont planowania powyżej 5 lat, ale rzadko powyżej dekady.

Dojrzały

Tu organizacje nie potrzebują już norm i standardów. Często posiadają własne rozwiązania, na tyle dojrzałe i na tyle skuteczne, że przyłożenie jakiejkolwiek normy czy standardu da zgodność bez specjalnego przygotowania. Bezpieczeństwo jest już niejako wrodzone, niemalże niezauważalne. Badając z użyciem narzędzi analitycznych do oceny kultury organizacyjnej wg. modelu Scheina artefakty w pełni potwierdzają posiadanie przekonań. Innymi słowy misja i wizja, zawarta w polityce bezpieczeństwa oraz cele strategiczne bezpieczeństwa są realizowane poprzez “branżystów” (RODO, BHP, PPOŻ, inne) a dodatkowo wszystkie te aspekty wchodzą w strukturę bezpieczeństwa korporacyjnego. Przy czym dość często nawet nie ma wyraźnego zaznaczenia, że coś jest działaniem na rzecz bezpieczeństwa. Bo każde takie jest rozumiane jako działanie na rzecz organizacji. 

Horyzont planowania: pokolenia. 

Praktyka

W praktyce przez kilkaset projektów spotkałem tylko kilka firm na poziomie dojrzałym. Co ciekawe, wcale nie były to tylko firmy ogromne, też mniejsze. Ale analizując ścieżkę rozwoju tych, które jednak są gigantami globalnymi po prostu widać było, że pojawiło się w pewnym momencie myślenie o dojrzałości jako takiej. Dojrzałości organizacji, a nie dojrzałości w bezpieczeństwie. 

Jednak zdecydowana większość to firmy o poziomie dziecka. Takie, w których pojawia się tzw. quasi-compliance, czyli pozorna zgodność. Dokumenty deklarujące konkretne działanie są opracowane w sposób całkowicie oderwany od organizacji. Czyli to co napisałem na wstępie, bezpieczeństwo jest dodatkiem, nie elementem zarządzania. Często też nie jest to poziom zarządzania, a poziom kierowniczy. 

Post-COVID19

Artykuł jest pewną kontynuacją spotkania sprzed kilkunastu tygodni, gdzie w Business Dialog dyskutowaliśmy o tym, czy Polska i Europa są w stanie przejąć produkcję i usługi z Azji. Po tych kilku tygodniach przemyśleń zmieniłem nieco zdanie. Otóż to jak dojrzałą mamy mieć organizację oraz jej bezpieczeństwo zależy nie tylko od nas. Jeśli nasz odbiorca jest dzieckiem, to nie będzie wymagał organizacji dojrzałej, bo nawet nie wie jak to wygląda. Wystarczą mu dokumenty, kilka wywiadów w trakcie audytu strony drugiej (często bez audytów referencyjnych u innych odbiorców) i już będzie zadowolony. 

Tak, to też praktyka i udział po stronie dostawcy w audytach, w tym nawet audytach etycznych. Podejście do deklaracji pochodzenia surowca bywa… może nie tyle kuriozalne, co dobór audytorów był chyba na zasadzie losowania przez sierotkę Marysię z puli karteczek z imionami w szklanej kuli. 

Odporność, czyli czy przetrwamy kolejny kryzys? 

Resilience to termin, który dość trudno przetłumaczyć. Za sprawą “wydzielania” funkcji bezpieczeństwa u niemowląt i dzieci (co jednak stanowi większość organizacji na świecie), dość często jest to tłumaczone jako trwałość czy odporność organizacji. I za działanie czują się odpowiedzialne działy, departamenty bezpieczeństwa, w tym opisanym na wstępie podejściu “silosowym” 

„Resilience” bywa tłumaczona też jako sprężystość. Możliwość działania w otoczeniu turbulentnym, trudnym do przewidywania. Tutaj silosowe podejście, wydzielone działy i funkcje bezpieczeństwa po prostu nie zadziałają. 

Dlatego na zakończenie wpisu postawię pytanie wychodzące poza tezy z klubowego spotkania:

• Czy naprawdę chcemy przejmować Azję?
• Czy może chcemy być przygotowani na “cokolwiek się zdarzy”?

O odporności organizacji rozwinę nieco w kolejnych wpisach. 

 

Grzegorz Krzemiński