ISO22361 - Hva betyr det for deg?

Den nye internasjonale standarden for krisehåndtering – ISO22361 er nylig lansert. Hva betyr det egentlig for deg?

Enten det er utpressingsforsøk gjennom skadevare, pandemier som Covid, rene operasjonelle hendelser i egen organisasjon eller politisk uro: Håndtering av risiko, forebygging og krisehåndtering er et sentralt ansvar for enhver ledergruppe.

- ISO 22361 Crisis Management er på mange måter en oppsummering av beste praksis på feltet internasjonalt. Uansett om du har systemer på plass, eller er i prosess med å implementere løsninger, kan ISO 22361 være en god referanse og guide, forteller sikkerhetsleder i F24 Nordics, Jan Terje Sæterbø.

- ISO 22361 vil sannsynligvis bli den nye standarden organisasjoners beredskapsevne blir målt mot. Det kan derfor være smart å sette seg inn i standarden og sikre at din organisasjon tilpasser seg det som regnes som beste praksis internasjonalt, sier han.

Hva er nytt i ISO 22361?
I motsetning til tidligere standarder, der man var fokusert på forberedelse for kriser, går ISO 22361 mer inn på organisasjonens evne til krisehåndtering. Evne til håndtering defineres som en funksjon av ledelse, strukturer, kultur og mennesker.

ISO 22361 avklarer også hvor krisehåndtering er plassert i forhold til andre beredskapsområder som risikostyring, forretningskontinuitet, informasjonssikkerhet, fysisk sikkerhet, sikkerhet, hendelsesrespons og beredskapshåndtering.

Syv prinsipper
- ISO 22361 definerer syv overordnede prinsipper for krisehåndtering. En god krisehåndtering handler ikke bare om å ha en oppdatert plan, men vel så mye om måten en organisasjon tenker og reagerer på en eksistensiell trussel, i tråd med dens kjerneverdier og strategiske mål, sier Sæterbø.

De syv prinsippene i ISO 22361 er:

Styring: Krisehåndtering er avhengig av effektiv styring på alle nivåer i organisasjonen, og klart forståtte strukturer, roller, ansvar og kompetanse.

Strategi: Krisehåndtering er en strategisk evne. Å bygge og vedlikeholde en krisehåndteringsevne er avhengig av at ledelsen kommuniserer sin verdi og betydning til organisasjonen, setter mål og allokerer ressurser for å nå disse.

Risikostyring: Krisehåndteringsevnen er dynamisk og er basert på styring av risiko. Adaptiv og rettidig krisehåndtering er avhengig av situasjons- og risikobevissthet.

Beslutningstaking: Effektiv beslutningstaking er avhengig av god informasjonshåndtering, situasjonsforståelse og forståelse for behovene og forventningene til interesserte parter.

Kommunikasjon: Krisehåndtering krever effektiv kommunikasjon. Organisasjonen bør kommunisere nøyaktig, troverdig og rettidig informasjon til interesserte parter for å øke effektiviteten av krisehåndteringen og beskytte omdømme og integritet.

Etikk: En organisasjons respons på en potensiell eller faktisk krise styres av kjerneverdiene og etiske forventninger.

Læring: En organisasjons evne til krisehåndtering forbedres gjennom organisatorisk læring. En organisasjon lærer ved å sikre at personer med krisehåndteringsroller og -ansvar er kompetente gjennom opplæring, trening og læring fra intern og ekstern erfaring.

Hva er en "krise"?
ISO 22361 definerer en krise som en "unormal eller ekstraordinær hendelse eller situasjon som truer en organisasjon eller et fellesskap og krever en strategisk, tilpasningsdyktig og rettidig respons for å bevare dens levedyktighet og integritet".

- Dermed sier denne standarden også at en krise er uvanlig – den er ikke en del av «business as usual» og krisehåndtering er derfor annerledes enn forretningskontinuitetsstyring, sier Sæterbø.

- En krise er ut fra denne definisjonen en eksistensiell trussel mot omdømmet og levedyktigheten til en organisasjon og kan derfor involvere hele organisasjonen.

ISO 22361 viser også til ulike årsaker til kriser, noe som kan være en nyttig påminnelse, sier Sæterbø:

- Mange av disse årsakene som er listet opp, kan virke åpenbare, men det kan være en nyttig påminnelse om at kriser kan oppstå ut fra ulike situasjoner, både internt i organisasjonen og eksternt.

Ikke en mal – men en referanse
- ISO 22361 er en god referanse for å krisehåndteringsevne, men det er ikke en mal som du kan bruke for å gjøre «copy-paste». Men den er en god guide som kan hjelpe deg i arbeidet med organisering av krisehåndteringen i din virksomhet – og det blir den internasjonale standarden du kommer til å bli målt mot, sier Sæterbø.

Du finner mer informasjon om ISO 22361 her (ekstern lenke)