W dobie dzisiejszej konkurencji, wyścigu firm w produkcji innowacyjnych wyrobów, szybkości przepływu informacji oraz problemów w łańcuchu dostaw, istotne są dobrze opracowane plany awaryjne, które pozwolą redukować skutki wystąpienia sytuacji niepożądanej w organizacji. Brak planów awaryjnych może narazić organizację na niepotrzebne ryzyko, jakim są m.in. nieplanowane przestoje produkcyjne, które można było przewidzieć.
Czym są i czego mogą dotyczyć plany awaryjne w organizacjach?
Plan awaryjny określa, jakie działania organizacja powinna podjąć w momencie wystąpienia jednej z sytuacji określonych w tym planie (np. sytuacje losowe), aby — najprościej rzecz ujmując — nie doszło do zatrzymania klienta. Dobry plan awaryjny określa również odpowiedzialność, dane kontaktowe osób, z którymi należy się komunikować w momencie wystąpienia sytuacji niepożądanej. Plan awaryjny powinien być tak opracowany, aby awaryjne sytuacje w jak najmniejszym stopniu wpływały negatywnie na systemy produkcyjno–logistyczne w całym łańcuchu dostaw.
Jakie sytuacje organizacja powinna uwzględnić w planie awaryjnym?
Bazując m.in. na wiedzy organizacji o branży motoryzacyjnej, na doświadczeniach własnych i innych firm, na podstawie obecnej sytuacji globalnej organizacja powinna opracować plany awaryjne w taki sposób, aby zapewnić ciągłość dostaw. W planach awaryjnych chodzi głównie o to, aby zminimalizować straty związane z pojawieniem się sytuacji niepożądanej, która dezorganizuje i zaburza działalność firmy. Plany awaryjne powinny być tak opracowane, aby dzięki nim firma jak najszybciej wróciła do standardowego, stabilnego funkcjonowania. Standard IATF 16949:2016 jednoznacznie wskazuje wymagania odnośnie do planów awaryjnych. W punkcie 6.1.2.3 oraz zatwierdzonej interpretacji nr 3 (SI 3 – poprawione i ponownie wydane w lipcu 2021, obowiązujące od listopada 2021, dostępne w j. polskim), wymaganie brzmi:
„Organizacja powinna:
[…]
- b) zdefiniować plany awaryjne odpowiednie dla ryzyka i wpływu na klienta;
- c) przygotować plany awaryjne dla zapewnienia ciągłości dostaw na wypadek, ale nie ograniczając się do tych wypadków, : uszkodzenia kluczowego wyposażenia, przerwy w dostawach wyrobów, procesów i usług dostarczanych z zewnątrz, nawracającej klęski żywiołowej, pożaru, pandemii, zakłócenia w dostawach mediów, cyberataki na systemy technologii informacyjnej, niedoboru siły roboczej czy zakłócenia w infrastrukturze […]”.
Uzależnienie organizacji od jednego źródła dostaw
Powyżej mamy minimalne wymagania podyktowane treścią standardu IATF 16949:2016 oraz SI nr 3. Organizacja dodatkowo powinna rozważyć wszystkie niepożądane incydenty, bazując na swoim doświadczeniu i sytuacji w branży. Przykładowo sytuacja opisana wymaganiem: „przerwy w dostawach wyrobów, procesów i usług dostarczanych z zewnątrz” może dotyczyć kilku różnych kwestii, takich jak: bankructwo dostawcy, niemożność dostarczenia wyrobów, dostarczenie 100% wyrobów wadliwych.
Aby zabezpieczyć firmę przed takimi sytuacjami, warto rozważyć, jako plan awaryjny, posiadanie alternatywnego dostawcy z rynku lokalnego. Obecna sytuacja pandemiczna uwydatniła problemy wielu firm spowodowane właśnie brakiem alternatywnych źródeł dostaw oraz problem uzależnienia organizacji od jednego dostawcy. Aktualnie z powodu braku komponentów elektronicznych (mikroczipów) firmy produkcyjne, w tym OEM, ponownie zdecydowały się na wydłużenie planowanej przerwy wakacyjnej bądź też produkują samochody „na zapas” w oczekiwaniu na brakujące komponenty.
Nawracające klęski żywiołowe, a plany awaryjne
Kolejny incydent dotyczący „nawracającej klęski żywiołowej”, czyli ekstremalnego zjawiska naturalnego powodującego znaczne szkody na terenie objętym tym zjawiskiem, może dotyczyć przykładowo takich zdarzeń, jak: tornado, trąba powietrzna, powódź, gwałtowne i długie opady śniegu, ekstremalne upały czy osuwiska lub trzęsienia ziemi. Klęską żywiołową może być również zdarzenie wywołane działaniem terrorystycznym. Dlatego też SI nr 3 do treści wymagań standardu IATF 16949:2016 wymienia cyberataki jako sytuację, która również powinna być w planach awaryjnych uwzględniona. Jak pokazują dane dot. cyberbezpieczeństwa, w okresie pandemii w samym roku 2020 organizacje były narażone na skumulowaną ilość takich ataków.
Rosnące zagrożenia w obszarze skomputeryzowanych technologii wskazują jednoznacznie, iż organizacje powinny być przygotowane na wypadek cyberataku. Zgodnie z SI nr 3: „Cyberbezpieczeństwo stanowi rosnące ryzyko dla zrównoważonego rozwoju produkcji we wszystkich zakładach produkcyjnych, w tym w branży motoryzacyjnej”. W odpowiedzi na stale rosnące wyzwania związane z cyberbezpieczeństwem Europejska Komisja Gospodarcza Organizacji Narodów Zjednoczonych wymaga auditowania systemów zarządzania cyberbezpieczeństwem u producentów OEM oraz oceny cyberbezpieczeństwa w ramach homologacji, zgodnie z Regulaminem ONZ nr 155 – Jednolite przepisy dotyczące homologacji pojazdów w zakresie cyberbezpieczeństwa i systemu zarządzania bezpieczeństwem [2021/387].
Regulamin ten ma zastosowanie do pojazdów kategorii M i N w odniesieniu do cyberbezpieczeństwa, jak i również do pojazdów kategorii O, gdy są one wyposażone, w co najmniej jeden elektroniczny moduł sterujący. Wg regulaminu „system zarządzania cyberbezpieczeństwem” oznacza systematyczne, oparte na analizie ryzyka podejście do ryzyka związanego z zagrożeniami dla cyberbezpieczeństwa pojazdów i ochrony pojazdów przed cyberatakami, w ramach którego definiuje się procesy organizacyjne, obowiązki i zarządzanie.
Można zauważyć zatem, że kwestie dotyczące cyberbezpieczeństwa nie ograniczają się tylko do obszarów biurowych stosujących komputery, ale również dotyczą procesów produkcyjnych, maszyn, jak i samych pojazdów. Dlatego też z pomocą we wdrożeniu skutecznego auditu zarządzania cyberbezpieczeństwem pospieszyło również VDA opracowujący nowy podręcznik referencyjny: Audit systemu zarządzania cyberbezpieczeństwem.
Plany awaryjne w organizacjach – zakłócenia w dostawach mediów
Kolejnym zdarzeniem, które może dotknąć organizacje, są „zakłócenia w dostawach mediów”, czyli brak dostawy prądu, gazu czy wody. Tutaj również organizacje powinny określić niezbędne działania, które zapewnią, iż firma w jak najmniejszym stopniu odczuje negatywne skutki takiego zdarzenia. Przykładem działań, które podejmie firma, może być skorzystanie z generatora prądu, czy też stosowanie zasilania dwustronnego. Dobry agregat prądotwórczy zapewni pracę komputerom, narzędziom pomiarowym, a nawet kluczowym maszynom produkcyjnym.
Czy konieczne jest testowanie planów awaryjnych pod kątem skuteczności?
Jak widać, im większa jest wiedza organizacji, tym większa szansa na to, iż w planach awaryjnych zostaną zawarte wszystkie potencjalne sytuacje niepożądane. Warto w tym celu skorzystać z wiedzy pracowników, wykładów realizowanych w ramach konferencji branżowych czy też czasopism, które poruszają kwestie nowoczesnych rozwiązań w branży motoryzacyjnej. Uwzględnienie jednak wszystkich możliwych sytuacji to dopiero początek, plany awaryjne powinny być jeszcze testowane pod kątem skuteczności.
Jak ujęto w wymaganiu:
„Organizacja powinna:
[…]
- e) przeprowadzać okresowe testy skuteczności planów awaryjnych (np. symulacje, jeżeli mają zastosowanie); dla cyberbezpieczeństwa: testowanie może obejmować symulację ataku cybernetycznego, regularne monitorowanie specyficznych zagrożeń, identyfikację zależności i ustalanie priorytetów dla luk w zabezpieczeniach […]”
Testowanie skuteczności planów awaryjnych ma upewnić organizację, iż na wypadek wystąpienia sytuacji niepożądanej, plan ten będzie skutecznym narzędziem, które pozwoli organizacji zminimalizować straty i szybko powrócić do stanu pożądanego. Przykładem takiego testowania sytuacji awaryjnej, może być praktyczne sprawdzenie organizacji oraz warunków ewakuacji z całego obiektu, na wypadek wystąpienia pożaru.
W celu zapewnienia, iż plany awaryjne są skutecznie i prawidłowo określone, a dane w nich zawarte (np. adresy e-mail, telefony, dane kontaktowe) są wciąż aktualne, organizacja powinna:
„[…] f) przeprowadzać przeglądy planów awaryjnych (przynajmniej raz w roku), z udziałem zespołu interdyscyplinarnego włącznie z najwyższym kierownictwem, oraz aktualizować je zgodnie z wymaganiami;
- g) dokumentować plany awaryjne i przechowywać udokumentowaną informację opisującą każdą rewizję (rewizje), włącznie z osobą (osobami), które autoryzowały zmianę (zmiany) […]”
W związku z powyższym wymaganiem w praktyce przegląd planów awaryjnych w firmach najczęściej ma miejsce w trakcie corocznego przeglądu zarządzania.
Jak uświadomić pracowników organizacji o planach awaryjnych?
Ostatnią kwestią wymaganą przez zaktualizowaną SI nr 3 oraz nową SI nr 22 jest uświadomienie pracowników organizacji o planach awaryjnych. Pracownicy organizacji powinni być świadomi istnienia planów, aby móc identyfikować potencjalne awarie sprzętu i cyberataki w swoim środowisku pracy. Zasadne jest zatem, aby w ramach szkolenia wstępnego, informować o planach awaryjnych nowych pracowników, oraz regularnie przypominać pracownikom, jak należy postępować m.in. w celu zapobieżenia niechcianym sytuacjom.
Bazując na danych organizacji IATF, plany awaryjne niezmiennie od lat są sporym problemem w organizacjach. Ich skuteczne opracowanie, wdrożenie i regularne aktualizowanie jest nie lada wyzwaniem w obliczu zmieniających się trendów i oczekiwań branży motoryzacyjnej. Poszerzanie jednak wiedzy organizacji z pewnością pozwoli firmie na skuteczne nadzorowanie opracowanych planów, jak i zagadnień w nich uwzględnionych.
Autor: Anna Niedźwiedzka-Kubieniec
Trener / Konsultant/ Auditor