Inden for public safety (politi, brand og redning) samt forsvar har man en lang tradition for at arbejde med beredskabsplanlægning som en del af det løbende arbejde med at kunne håndtere opdukkende krisesituationer. Klassisk risikostyring handler om at forebygge men også om at have robuste planer, som kan støtte os, hvis risiciene indtræffer. Mange brancher vil kunne lære af den tilgang forsvar og politi anvender, når de arbejder med beredskabsplanlægning. Denne artikel ser på, hvordan Beredskabsstyrelsens koncept for helhedsorienteret beredskabsplanlægning kan anvendes i et forretnings- og projektmæssigt øjemed. Og ser på hvordan risikoanalyse og trusselvurdering er et centralt fundament for solid beredskabsplanlægning.

Af partnere Anders Find og Annemarie Vitoft, Black Swan Institute, 28. december 2016

En beredskabshændelse defineres ifølge Beredskabsstyrelsen ved, ”at den ikke kan håndteres ved hjælp af almindelige ressourcer og procedurer”. Formålet med beredskabsplanlægning er således at skabe en robust organisation, der kan håndtere konsekvenserne af kriser. Ifølge beredskabsstyrelsen har tidligere større ulykker og katastrofer vist, at alle medarbejdere i en organisation kan få en rolle i forhold til beredskabsarbejdet. Derfor er beredskabsplanlægning langt hen af vejen en organisationskulturel indsats, som handler om at styrke de grundlæggende holdninger og kulturen i organisationen knyttet til beredskab og krisestyring. Rammeværket kan anvendes på et organisatorisk niveau, et forretningsområde eller på projektniveau.

Beredskabsstyrelsen deler helhedsorienteret beredskabsplanlægning op i syv overordnede områder:

  1. Ledelse – strategisk ledelsesmæssigt fokus sikrer gennemførelsen af aktiviteterne i beredskabsplanlægningen
  2. Planlægning – kortlægning af kritiske funktioner, sårbarheder og trusler kvalificerer planlægningen på de øvrige områder
  3. Forebyggelse – overblik over forebyggende tiltag nedsætter sandsynligheden for ulykker og andre kriser eller mindsker deres konsekvenser
  4. Uddannelse – brede uddannelsesinitiativer gør hele organisationen klar til at bidrage til beredskabsarbejdet
  5. Øvelser – afprøvning af krisestyringskapaciteterne styrker organisationens evne til at håndtere større hændelser
  6. Evalueringer – evaluering af øvelser og skarpe hændelser skaber grundlag for læring
  7. Beredskabsplaner – planer tydeliggør procedurer for håndteringen af større hændelser

Vi gennemgår nedenfor de 7 indsatsområder og hvordan Beredskabsstyrelsens model kan anvendes, også i forretningsmæssigt øjemed.

  1. Ledelse                     

Det er ledelsens ansvar at sikre, at organisationen som helhed og de enkelte forretnings- og systemområder samt projekter og programmer har et robust og fleksibelt beredskab, der kan anvendes, når der opstår uforudsete krisesituationer, hvor de daglige ressourcer og rutiner ikke slår til. Beredskabsarbejdet involverer således topledelse såvel som mellemledelse og projekt-og programledelser.En del af ledelsens opgave i beredskabsarbejdet er at fastlægge prioriteringer samt at tydeliggøre hvilke forventninger, der stilles til de enkelte dele af organisationen og medarbejdere. For at skabe de bedte forudsætninger for en udbredt og varig beredskabskultur i organisationen, er det vigtigt, at ledelsen kommunikerer budskaber om hvorfor krisestyring og beredskabsarbejdet er vigtigt på tværs af hele organisationen. Det kan fx gøres vha. nyhedsbreve, temadage eller øvelser.Beredskabsstyrelsen anbefaler, at ledelsen i samarbejde med beredskabsplanlæggerne udarbejder to overordnede styringsdokumenter: En overordnet beredskabspolitik for organisationen, som fastlægger mål og prioriteringer for beredskabet for organisationen samt opsummering af ansvar og roller samt et mere detaljeret beredskabsprogram – som fastlægger, hvordan ambitionerne skal føres ud i liv. Herunder skal der for de enkelte områder, projekter og systemer i virksomheden udarbejdes beredskabsplaner jf pkt 7 nedenfor.

 

2. Planlægning              ‘

Planlægningsgrundlaget er en del af grundlaget for arbejdet med beredskabsplanlægning. Organisationen bør til stadighed have overblik over:

  • Hvad er forretningskritisk, organisationen altid skal kan levere og derfor skal være underlagt beredskab og krisestyring
  • Hvad er organisationen afhængig af, for at kunne fungere i en krisesituation – både interne og eksterne afhængigheder (kompetencer, produkter, beslutninger, informationer, mv)
  • Hvilke interne og eksterne trusler er relevante for organisationen at beredskabsplanlægge

Organisationen skal, ifølge Beredskabsstyrelsen, som en del af etableringen af planlægningsgrundlaget gøre sig klart, hvilke kritiske funktioner (aktiviteter, varer og tjenesteydelser) den skal kunne opretholde, selv om organisationen udsættes for krisesituationer. Organisationen bør i den forbindelse også skabe sig overblik over funktioner hos fx samarbejdspartnere eller myndigheder, som er afgørende for at kunne opretholde organisationens kritiske funktioner. For at skabe grundlag for at kunne gennemføre de nødvendige forebyggende tiltag, bør organisationen løbende foretage opdatering af trusselsbilledet, der kan påvirke organisationens kritiske funktioner og opdatere sine risikoanalyser på baggrund heraf. Hvilke trusler, der er relevante, varierer fra organisation til organisation og vil variere i takt med ændringer i organisationens omgivelser. Risiko- og sårbarhedsanalyser er således centrale værktøjer til at skabe overblik over, hvilke kendte trusler, der indebærer de største risici samt er med til at identificere på hvilke områder organisationen er sårbar i forhold til disse trusler.

Analyserne af trusler kan, pga. uforudsigeligheden i deres natur, ikke skabe et overblik over alle hændelser, som organisationen skal kunne håndtere. Det kan ofte være vanskeligt at sige noget præcist om sandsynligheden for at hændelser vil indtræffe, og det er samtidigt vigtigt at organisationens beredskabsplanlægning tager højde for ukendte og uforudsete risici. Beredskabsstyrelsen anbefaler, at man koncentrerer trusselsanalyser på, hvordan man håndterer konsekvenser af forskellige hændelser i stedet for at analysere sandsynligheden for, at hændelserne vil indtræffe. Dette kan give organisationen et mere fleksibelt og skalerbart beredskab, der også kan bruges ved uforudsigelige hændelser.

 

3. Forebyggelse            

Forebyggelse er relevant for alle typer af organisationer og handler om at undgå kriser og dermed formindske behovet for at aktivere organisationens beredskab. Forebyggende tiltag kan både handle om at nedsætte sandsynligheden for at kriser indtræffer samt at mindske deres konsekvenser, hvis de skulle indtræffe.
Forebyggelse kan ifølge Beredskabsstyrelsen deles op i tre typer:

1) Forandringer i det fysiske design

2) Forandringer i procedurer

3) Påvirkning af adfærd

Forebyggende fysiske tiltag kan handle om at skabe mere robuste faciliteter, it-systemer og materiel, dette gælder både udvikling af nye systemer og faciliteter, såvel som i udviklingen af nye. Forebyggelse via procedurer, processer og rutiner omhandler typisk etablering og vedligeholdelse af sikkerhedsforanstaltninger. Det kan fx være tale om kontrolprocedurer for at sikre, at en opgave er blevet udført på en korrekt, forsvarlig og sikker måde. Her stilles ofte krav om compliance til forskellige standarder, fx ISO-standarder for kvalitet og sikkerhed. Adfærd i organisationen kan påvirkes ved at fastlægge regler og rutiner eller ved at opbygge, vedligeholde eller ændre menneskers viden og holdninger gennem oplysning, kompetenceudvikling og udvikling af organisationskulturen. Dette kan f.eks. være retningslinjer for it-sikkerhed i organisationen. Hele fundamentet for forebyggelsesindsatsen er risikoanalysen. Forebyggelse forudsætter nemlig, at man ved, hvad der skal forebygges. Derfor kræver den effektive forebyggelse, at man har et overblik over, hvilke risici man står overfor, og hvordan de kan mindskes.

4. Uddannelse              

For at organisationens beredskab skal kunne fungere på den bedste måde, bør medarbejderne have de kompetencer, der er nødvendige for at løse de beredskabsmæssige opgaver. For at iværksætte den nødvendige kompetenceudvikling bør organisationen danne sig et overblik over hvilke kompetencer, den skal råde over i forbindelse med beredskab og krisestyring. Der vil ofte være brug for et særligt sæt af kompetencer, som ikke nødvendigvis er udbredt i den daglige drift, men som kan blive påkrævet i særlige situationer. Udgangspunktet for denne afdækning er igen risikoanalysen og forståelsen for, hvilke trusler og situationer, organisationen særligt bør være opmærksom på. Kompetencerne kan enten findes eller opdyrkes hos medarbejdere i organisationen, eller de kan rekvireres fra samarbejdspartnere og andre eksterne organisationer om nødvendigt. Kompetencerne kan ikke opbygges, når krisen først er indtrådt, men skal være forberedt, hvis de skal fungere mest effektivt.

Som udgangspunkt bør alle organisationens medarbejdere have kendskab til organisationens beredskabspolitik, beredskabsprogrammer og beredskabsplaner. Organisationen bør tage højde for, at kriser kan indtræffe også uden for normal arbejdstid. Således bør også vagt- og ekstrapersonale have et tilstrækkeligt uddannelsesniveau, samt indgå i øvelser og andre forberedende aktiviteter. Alle medarbejdere, der potentielt kan komme til at indgå i kriseorganisationen bør kende deres roller og ansvar i krisestyringen samt den overordnede ansvarsfordeling og de procedurer, der ligger til grund for håndteringen af krisestyringen.

5. Øvelser                      

Øvelser er en central del af beredskabsarbejdet. Formålet med øvelser er, at afprøve og udvikle organisationens medarbejdere og deres krisestyringskompetencer, beredskabsplaner og -procedurer, systemer samt samarbejdsrelationer. Alle organisationer bør planlægge for at afholde regelmæssige og varierede øvelser, for at forberede håndteringen af større kriser. Dette sker bedst ved, at organisationen både afholder egne interne øvelser og deltager i tværgående øvelser med fokus på samarbejde på tværs af organisation og ift. samarbejdspartnere.
For at en øvelse skal skabe grundlag for læring og forbedre organisationens krisestyringskapacitet, er det vigtigt, at der i øvelsen skabes rum til at organisationen kan begå og lære af sine fejl. Det betyder, at øvelsen giver bedst udbytte, hvis den afholdes inden for et område, hvor der er et væsentlig forbedringspotentiale. Ligeledes er det vigtigt, at øvelsesdeltagerne opfordres til at finde svagheder og komme med konstruktive løsninger på mangler. Der findes forskellige typer af øvelser, som kan tages i anvendelse afhængig af situationen: procedureøvelser, dilemmaøvelser, krisestyringsøvelser og fuldskalaøvelser. Hvad den enkelte organisation og de enkelte dele af organisationen skal gennemføre øvelser i, bør afhænge af organisationens behov for udvikling, det aktuelle trusselbillede, driftssituationen og omfanget af igangværende forandringsinitiativer. Øvelser kan anvendes til at afdække, hvad der fungerer godt i organisationen, og derfor skal fastholdes, og hvad der fungerer mindre godt, og derfor bør ændres. Erfaring fra beredskabsaktører, som arbejder konsistent og fast med øvelser som arbejdsform, viser, at øvelser kan skabe en unik mulighed for at man, i et kontrolleret miljø, afprøver nye teknikker og procedurer og fremavler den nødvendige krisestyringskultur i organisationen.

I 2013 gennemførtes på nationalt niveau en kriseøvelse, som skulle afdække, hvor godt det danske kriseberedskab fungerede i tilfælde af et cyberangreb. Centrale myndigheder og virksomheder som Nets, Metroen i København og Dong Energy deltog i en koordineret øvelse, som havde til formål at afprøve beredskabsplaner og tværgående samarbejde i en krisesituation.

6. Evalueringer             

Evalueringer af hændelser eller øvelser er en central forudsætning for, at man kan rette op på fejl og mangler i krisestyringsorganisationen og i beredskabsplanerne. En evaluering bør ifølge Beredskabsstyrelsen typisk afdække, hvad der fungerer godt under den pågældende krisestyringshændelse eller øvelse, og hvad der fungerer mindre godt. Dette kan give organisationens vigtig viden om, hvad der skal fastholdes og udbredes, og hvad der bør ændres.

Enhver organisation bør løbende evaluere krisestyringen både på organisations- og enhedsniveau. Alle beredskabsøvelser bør evalueres på samme måde. Det gælder både interne øvelser og organisationens deltagelse i tværgående øvelser arrangeret af andre aktører. En evaluering af et beredskab bør være en systematisk afdækning af indsatsen under en krise eller krisestyringsøvelse. Evalueringen bør have en specifik opgaveformulering, dataindsamlingen bør være målrettet ift. hændelsen, analysen bør være fokuseret og indsatsen bør vurderes ud fra klare fastlagte kriterier, fx evnen til at opretholde forretningskritiske funktioner i organisationen. Dette bør være fastlagt i et kommissorium for evalueringen. En kort skriftlig eller mundtlig afrapportering, hvor hændelses- eller øvelsesdeltagerne taler om deres erfaringer, kan indgå i en evalueringsproces, men udgør ikke i sig selv evalueringen.

 

7. Beredskabsplaner    

Organisationer bør udarbejde specifikke beredskabsplaner for opretholdelse af forretningskritiske funktioner. Beredskabsplanen er et praktisk redskab, som ledelse og medarbejdere kan anvende, når ekstraordinære hændelser og kriser skal håndteres. Beredskabsplaner bør beskrive, hvordan krisestyringen skal foregå på organisations- og enhedsniveau, når de almindelige ressourcer og rutiner ikke længere slår til. Beredskabsstyrelsen har en række krav til den gode beredskabsplan, herunder at det skal være læst, forstået og velafprøvet.

 

Opsamling                

Beredskabsplanlægning er en disciplin, som skal kunne mestres i både projekt- og driftsenheder, såvel som på organisatorisk niveau. Beredskabsplanlægning er en vigtig og naturlig del af risikoarbejdet i en virksomhed. Der er meget at lære af brancher, hvor beredskabsarbejde og øvelsesaktivitet er en fast bestanddel af det daglige arbejde og kulturen. Således kan videndeling og virksomhedsbesøg hos fx beredskabsmyndigheder være givtige for mange organisationer.

Denne artikel indgår i sin fulde længde i “Risk Management”-håndbogen.

 

Kilde                           

Beredskabsstyrelsens koncept for helhedsorienteret beredskabsplanlægning