2007-09-13

Zarządzanie bezpieczeństwem łańcucha dostaw – czyli budowanie
wiarygodności biznesowej. Przegląd wymagań rodziny norm ISO 28000.

 Przez ostatnie lata nieustająca globalizacja wywołuje ciągły
wzrost światowego handlu, przy jednocześnie widocznym wzroście potrzeb w
zakresie bezpieczeństwa łańcucha dostaw. Międzynarodowy Komitet Normalizacyjny
(ISO) opublikowało wytyczne dobrej praktyki dla wdrażania bezpieczeństwa łańcucha
dostaw. ISO/PAS 28001:2006 – Systemy
zarządzania bezpieczeństwem dla łańcucha dostaw – najlepsza praktyka dla
wdrażania, pozwoli organizacjom określić właściwe poziomy bezpieczeństwa i
pomoże im podejmować lepsze decyzje dotyczące zarządzania ryzykiem. ISO/PAS 28004:2006 – Systemy zarządzania
bezpieczeństwem dla łańcucha dostaw – wytyczne dla wdrożenia ISO/PAS 28000 pomoże
organizacjom wdrożyć  tę normę. ISO
dostarcza wymagania, które stanowią standard dostępny na poziomie globalnym. Dokumenty
te zostały stworzone, aby umożliwić monitorowanie przepływu dostaw, aby
zwalczać przemyt i ataki terrorystyczne, oraz aby stworzyć bezpieczny system
międzynarodowego łańcucha dostaw, jak również systemowe podejście do
identyfikacji, reagowania oraz monitorowania wszelkich ryzyk z tym związanych.

W szczególności wg ekspertów PBSG organizacja powinna wypracować metodykę,
która pozwoli na identyfikowane zagrożeń i ryzyk, przeprowadzanie ich analizy
(szacowania), określenie niezbędnych do podjęcia działań oraz wdrożenie środków
kontroli. Zakres i skala podejmowanych działań związane z zagrożeniami powinny
przy tym być adekwatne do typu i skali operacji. Określona metodyka powinna
uwzględniać zatem prawdopodobieństwo wystąpienia oraz skutków ewentualnych
zdarzeń, takich jak:

  • fizyczne uszkodzenie oraz ryzyko związane z
    funkcjonalnością, przypadkowym lub zamierzonym zniszczeniem, atakami
    terrorystycznymi itp.
  • zagrożenia dla działalności, łącznie z
    kontrolą bezpieczeństwa i czynnikami ludzkimi oraz innymi czynnikami mogącymi
    mieć wpływ na działalność organizacji,
  • klęski żywiołowe (huragany, powodzie itp.),
  • zdarzeń niezależnych od organizacji, takich
    jak niepowodzenia dostawców, firm serwisujących itp.
  • zagrożeń powodujących utratę reputacji oraz
    znaczenia marki,
  • przepływu i zarządzania informacjami i
    danymi,
  • projektowaniem i instalowaniem systemów
    bezpieczeństwa,
  • zagrożeń wpływających na ciągłość działania.

Według PBSG organizacja powinna  zapewnić mechanizmy kontroli i monitorowania oraz, jeżeli jest to niezbędne, na bieżąco aktualizować cele i plan zarządzania bezpieczeństwem oraz
wszystkimi procesami mającymi wpływ na funkcjonowanie systemu bezpieczeństwa w
organizacji, np.: planowanie szkoleń, program zarządzania bezpieczeństwem itp.

 
Przegląd rodziny norm ISO 28000

 
ISO/PAS
28000 Systemy zarządzania bezpieczeństwem dla łańcucha dostaw – wymagania jest
standardem w zakresie zarządzania bezpieczeństwem łańcucha dostaw. Wymagania
standardu określają sposób budowy systemu i zarządzania procesami w
organizacjach współpracujących w ramach łańcucha dostaw.

Struktura systemu zbudowana w oparciu o wymagania ISO/PAS
28000:2005 pozwala na minimalizację ryzyka bezpieczeństwa, wystąpienia
incydentów i zapobiegania negatywnym zdarzeniom mogącym wystąpić w
poszczególnych etapach łańcucha. Budowa systemu opiera się na ocenie ryzyka
poszczególnych  elementów procesów (finansowych, produkcyjnych, przepływu
informacji itp.) ISO/PAS 28000 jako system zarządzania w szczególności został
rozwinięty przez firmy logistyczne, których specyfika funkcjonowania oparta
jest na łańcuchu dostaw. Obecnie struktura wymagań pozwala na wdrożenie systemu
w oparciu o ISO 28000 w każdego typu organizacji (produkcja, usługi,
magazynowanie, transport), gdzie specyfika procesów i potrzeby klientów
wymagają właściwych mechanizmów bezpieczeństwa systemu.

ISO/PAS
28001:2006 System zarządzania bezpieczeństwem łańcucha dostaw – najlepsza
praktyka wdrażania, dostarcza organizacjom wymagania i
wskazówki dla międzynarodowego łańcucha dostaw w:

  • rozwijaniu i wprowadzaniu w życie procesów
    uwzględniających bezpieczeństwo łańcucha dostaw
  • ustalaniu i dokumentowaniu minimalnego akceptowalnego
    przez organizację poziomu bezpieczeństwa na przestrzeni łańcucha dostaw lub w części łańcucha dostaw;
  • wspieraniu Authorized Economic Operators w
    ustalaniu odpowiednich kryteriów i dostosowywaniu programu bezpieczeństwa
    narodowego łańcucha dostaw.

Dodatkowo, norma ISO/PAS 28001:2006 ustala zakres
wymaganej dokumentacji, który pozwala na weryfikowanie procesów.

Firmy chcące wdrożyć ISO/PAS 28001:2006 powinny:

  • zdefiniować łańcuch dostaw o ustalonym
    poziomie bezpieczeństwa
  • przeprowadzać ocenę wrażliwości
    bezpieczeństwa na etapach łańcucha dostaw i rozwijać odpowiednie środki
    zapobiegawcze;
  • rozwijać i wprowadzać w życie plan
    bezpieczeństwa łańcucha dostaw;
  • szkolić personel odpowiedzialny za
    bezpieczeństwo dostaw.

 
ISO/PAS
28003 – wymagania dla auditowania i certyfikacji systemów zarządzania bezpieczeństwem
łańcucha dostaw, zawiera wymagania, które mają zapewnić
kompetentność i niezależności jednostkom certyfikujących system.

Celem norm jest dostarczenie zaufania sektorowi
prywatnemu i publicznemu, który będzie mógł wymagać od dostawców
transportujących towary drogą wodną, powietrzną, transportem drogowym i
kolejowym certyfikatu bezpieczeństwa.

Norma ISO/PAS 28003:2006, System zarządzania bezpieczeństwem
łańcucha dostaw – Wymagania dla jednostek certyfikacyjnych, jest dokumentem
bliźniaczym do ISO/PAS 28000:2005, Wymagania dla systemu zarządzania bezpieczeństwem
łańcucha dostaw. Certyfikacja na normę ISO/PAS 28000:2005 nie jest wymagana.
Organizacje same decydują czy chcą się certyfikować i czy będą wymagać
certyfikatu od innych.

 
Norma
ISO/PAS 28004:2006 – System zarządzania bezpieczeństwem łańcucha dostaw –
wytyczne (dla wdrożenia), dostarcza ogólnych rad  pomagających wdrożyć system ISO/PAS
28000:2005.

To wydanie normy określa zasady systemu ISO/PAS 28000 i
opisuje intencje, typowe dane wejściowe, a także procesy i typowe dane
wyjściowe dla każdego z wymagań systemu ISO/PAS 28000. Norma ta jest pomocą w
zrozumieniu i wdrożeniu systemu ISO/PAS 28000.

ISO/PAS 28004:2006 nie tworzy dodatkowych wymagań
specyficznych dla systemu ISO/PAS 28000, ani nie nakazuje stosowania
określonych metod i narzędzi w systemie ISO/PAS 28000.

Szczegółowo metodykę wdrażania i zarządzana bezpieczeństwem
łańcucha dostaw w oparciu o ISO 28000 eksperci PBSG prezentują w najnowszej
edycji wydawnictwa Verlag.