Plutselig en dag står organisasjonen midt i en krise og da kan og vil en veltilpasset beredskapsplan være helt avgjørende for å begrense de negative konsekvensene og håndtere situasjonen på best mulig måte. Men hvilket innhold bør en slik plan ha og hvor starter vi?
Etter en litt trøblete avslutning på året for en rekke store norske selskaper, skrev jeg litt om viktigheten av å planlegge for bortfall av kjernesystemer og det å ha et godt planverk for å håndtere dagens og morgendagens trusler. Denne artikkelen kan leses her og vil fungere som et bakteppe for det jeg tenker å skrive om nå, nemlig det å lage en beredskapsplan. Siden vi nå skriver oktober og det er nasjonal sikkerhetsmåned, kunne det ikke passet bedre.
Optimalt sett burde man starte med kartlegging av bedriftens kritiske funksjoner, tilhørende systemer og hva konsekvensene vil være ved bortfall av disse. På fagspråket, ofte kalt Business impact analysis eller BIA som forkortelse. Mye av arbeidet gjort i denne analysen kan og bør danne grunnlaget for mye av beredskapsplanleggingen, men dette kan være en litt krevede og omfattende prosess. Dersom organisasjonen ikke har en beredskapsplan, bør man etter min mening prioritere å få dette på plass med fokus på det mest essensielle.
Formålet med en beredskapsplan er å sikre effektiv håndtering av alvorlige hendelser og kriser som treffer organisasjonen. Nøkkelord her er nettopp effektiv håndtering. Dette innebærer også den helt essensielle delen av å sikre kontinuitet for bedriften i de daglige oppgavene. Når en krise inntreffer kan det fort oppstå en «alle mann til pumpene» mentalitet, men dette tjener nødvendigvis ikke organisasjonen. Selv om et skip tar inn vann, er det viktig å sikre at noen står ved roret, kokken i byssa sikrer mat så mannskapet orker å jobbe overtid og ikke minst noen som sikrer å tette hullet. Dette er en mer hensiktsmessig arbeidsfordeling enn om alle står og sliter seg ut med å lense vann.
Når en krise inntreffer, vil dette være et tidspunkt med veldig mye usikkerhet i hele organisasjonen. Det å ha en plan med organisering, ansvarsfordeling og konkrete oppgaver til den enkelte skaper både en trygghet for ansatte og ledere. Det er også mange beslutninger som må tas på kort tid. At flere beslutninger er tatt allerede gjennom planverket, vil sikre mye bedre håndtering av krisen. Hvis kriseleder må bruke opp sitt fokus og beslutningsevne på å bestemme møterom, hvem som skal være ansvarlig for å kontakte pårørende, hvem som skal sørge for å skaffe mat, hvem som skal lage pressemelding osv., tar alt dette bort fokuset fra de viktige strategiske beslutningene denne krigslederen potensielt må ta.
Det er ingen fasit på hva en beredskapsplan skal inneholde eller hvordan den skal bygges opp og den må alltid tilpasses til organisasjonen som alt annet. Men det er en del elementer det er ganske bred enighet om at det er fordelaktig å ha med. Nedenfor følger en struktur og et minimum av elementer en beredskapsplan bør inneholde:
1. Formål for planen
Det første man bør starte med er å definere formålet med planen som skal utarbeides. I store og eller litt mer komplekse organisasjoner vil man ofte finne flere planer med litt ulike formål. Det kan være kontinuitetsplaner for IT-systemer eller enkelte kritiske funksjoner for organisasjonen. Det kan være planverk for å håndtere sitasjoner som oppstår knytte til leveranse av tjenester til kunder, eller det kan være en beredskapsplan for håndtering av trusselsituasjoner.
2. Mandat og fullmakter
Beskriv tydelig mandatet og fullmaktene kriseledelsen har. Kriseleder og øvrige medlemmer av kriseledelsen er roller, som trenger klare fullmakter for å kunne ta tidsriktig beslutninger underveis i håndteringen. Tid er en kritisk faktor, så det å måtte forankre og få ekstern godkjennelse utenfor kriseledelsen for beslutningene som skal tas, vil være negativt for håndteringen og kunne føre til forverret situasjon som kunne vært unngått.
3. Organisering og oppgaver\tiltak
Nå skal kriseorganisasjonen defineres med roller, tilhørende ansvarsområder og oppgaver.
I dette arbeide bør man etter min menig alltid ta utgangspunkt i de fire grunnleggende prinsippene for beredskap vi har i Norge:
1. Ansvarsprinsippet
Den organisasjon som har ansvar for et fagområde i en normalsituasjon, har også ansvaret for nødvendige beredskapsforberedelser og for å håndtere ekstraordinære hendelser på området.
2. Likhetsprinsippet
Den organisasjon man opererer med under kriser, skal i utgangspunktet være mest mulig lik den organisasjon man har til daglig.
3. Nærhetsprinsippet
Kriser skal organisatorisk håndteres på lavest mulig nivå.
4. Samvirkeprinsippet
Myndigheter, virksomheter og etater har et selvstendig ansvar for å sikre et best mulig samvirke med relevante aktører og virksomheter i arbeidet med forebygging, beredskap og krisehåndtering.
Tilstreb altså å ha en så lik og kjent organisering ved kriser, som i det daglige. Det kjente er det trygge, spesielt i kritiske sitasjoner. Beslutt også i denne delen av planen alt av praktiske ting som møterom ved kriser, hvem som har ansvaret for å kalle inn til kriseorganisasjonen, hvordan skal varsling foregå, hvem skal varsles osv.
Få også på plass ressurslister med stedfortreder, kontaktpersoner hos leverandører, kunder, relevante myndigheter og andre interessenter det kan være aktuelt å kontakte under krisehåndteringen.
Til slutt husk også på kontinuiteten som skal ivaretas i organisasjonens daglige virke. Ikke la ledergruppen som i en ordinær situasjon tar beslutninger på et strategisk nivå, bli til «do’ere» i kriseorganisasjonen. Ledergruppen bør møtes og ta beslutninger i et fornuftig intervall og la fagpersoner jobbe og håndter det operative i krisen. Men ha alltid lav terskel for at kriseleder/kriseledelse kan kontaktes for nødvendige avklaringer.
4. Kommunikasjon
Kommunikasjon står helt sentralt i enhver krise og kan fort gjøre en liten krise større både internt og ekstern hvis dette ikke håndteres på en god måte. Ser man på kriser på den politiske arenaen, hos myndighetsorganer eller store organisasjoner er det ofte kommunikasjon som sørger for store fall. Tillitt er essensielt uansett hvilken bransje man operer og brytes denne igjennom feilaktig eller mangelfull informasjon, vil dette kunne få stor betydning. Vær åpen, ha et klart og enkelt språk og sørg for å ta eierskap til kommunikasjonsbudskapet før det blir kjent hos kunder eller skrives om i media.
Ansatte og/eller pårørende er en annen gruppe som har et stort behov for informasjon, men som fort kan bli litt glemt i en hektisk krisehåndtering. Samme prinsippene gjelder også her, vær rask og presis i budskapet, si hva man vet og hva man ikke vet. Spesielt viktig er dette i situasjoner der hvor det også er pårørende. Her kan man f.eks. vurdere å sette opp en pårørendetelefon for å ivareta det ekstra behovet denne gruppen ofte har for informasjon.
Beskriv deretter i beredskapsplanen hvordan kommunikasjon skal foregå, hvem som har ansvaret for utarbeidelse av kommunikasjonsbudskapet og hvilke kanaler man skal kommunisere i. Del så gjerne opp i interessentgrupper, da det ofte vil være behov for å tilpasse budskapet til disse gruppene som nevnt ovenfor.
Anbefalt videre lesning er DSBs veileder i krisekommunikasjon som finnes her. Dette er en grundig og god veileder som bør leses av alle som jobber med beredskap.
5. Tiltakskort
Tiltakskort er et kjempefint verktøy som gir både trygghet for de involverte i kriseorganisasjonen, men også sikrer effektiv håndtering tidlig i krisen. Tiltakskort består ofte av en enkel rollebeskrivelse, ansvarsområder, sjekklister for oppgaver og relevante telefonnummer i et enkelt format. Lag egne tiltakskort for alle nøkkelrollene i den definerte kriseorganisasjonen og legg disse som vedlegg til beredskapsplanen.
Til slutt, ikke bare ha beredskapsplanen og tiltakskortene et sted på sharepoint eller en filserver som blir utilgjengelig ved et strømbrudd eller feil på IT-tjenesten. Sørg for at det er skrevet ut fysiske kopier av planverket og at deltagerne i kriseorganisasjonen har PDF-versjoner av sine tiltakskort på sin bærbare PC eller telefon.
Som jeg avsluttet med i forrige artikkel, øv planverket, øv virksomheten, øv menneskene. Husk på at øvelser skal være trening for organisasjonen og medarbeiderne, det skal ikke være en måling av prestasjon eller konkurranse.
All lærdom man kan trekke ut av øvelser og implementere til den dagen det er en reell krise som må håndteres, vil være verdt mangedobbelt av den tiden virksomheten har satt av til å øve. Øvelser kan gjennomføres på forskjellige måter og i ulike skalaer. Begynn gjerne i det små med enkle skrivebordsøvelser med utvalgte deltagere for å teste ut planverk, organisering og rolleforståelse. Etter hvert som modenheten øker, bør man prøve ut spilløvelser som tester ut reelle scenarier og hele virksomheten. Organisering av øvelser for å sikre et godt utbytte skal jeg skrive mer om ved en senere anledning. 
Trenger din bedrift hjelp til gjennomgang av kritiske funksjoner og avhengigheter mot IT-systemer, beredskapsplanlegging, øvelser eller risikoanalyser er det bare å ta kontakt. Se på dette arbeidet som en forsikring, forhåpentligvis trenger du den ikke, men dagen det brenner er du glad for du har den.
