2007-10-03

Zarządzanie
ryzykiem i ciągłością działania podstawą wdrażana zintegrowanych systemów
zarządzania – eksperci PBSG komentują wymagania PAS 99.

Wiele  organizacji
wdrożyło lub jest w trakcie wdrażania formalnych systemów zarządzana w oparciu
o międzynarodowe wymagania lub specyfikacje, do których należą ISO 9001, ISO
14001, ISO/IEC 27001, ISO 220000, ISO/IEC 20000, OHSAS 18001, czy BS 25999.
Większość z nich podlega mechanizmom większej lub mniejszej integracji, co
widoczne jest w oddzielnym lub zintegrowanym działaniu tych systemów na
poziomie operacyjnym i strategicznym. We wszystkich systemach zarządzania
zbudowanych w oparciu o standardy miedzynarodowe istnieje kilka wspólnych
elementów, które mogą być zarządzane w sposób zintegrowany. W związku z tym,
opracowano specyfikację wspólnych wymagań dla jednolitego systemu
zintegrowanego – PAS 99.

Pierwotnie autorzy PAS 99 kierowali wydanie normy do
organizacji, które posiadały wdrożone systemy zarządzania w oparciu o dwa lub
więcej standardów. Niemniej obecnie bez znaczenia pozostaje ilość wdrożonych
systemów, ponieważ środek ciężkości został przesunięty w część dotyczacą
zdogności oceny skuteczności i efektywności systemu.  Dlatego organizacje, które podejmują decyzję
o wdrożeniu wymagań PAS 99 muszą traktować wymagania np. ISO 9001, ISO 14001,
ISO/IEC 27001, ISO 220000, ISO/IEC 20000, OHSAS 18001, BS 25999, jako wymagania
szczegółowe systemu zintegrowanego. Zgodność z PAS 99 nie zapewnia samo w sobie
zgodności z wymaganiami wybranego standardu. Poszczególne wymagania każdego ze
standadów wciąż pozostają podstawą struktury systemu i procesu certyfikacji.
Certyfikacja w odniesieniu jedynie do wymagań PAS 99 jest więc niemożliwa.

Opracowanie PAS 99 jest inicjatywą, która w istocie ma
pomóc osiągnąć organizacjom korzyści z konsolidacji wspólnych wymagań
występujących we wszystkich standardach. Korzyści, jakie wynikają z takiego
podejścia są następujące:

  • precyzyjne skupienie na działalności podstawowej
  • całościowe podejście do Zarządzania ryzykiem
  • zmniejszenie konfliktu w trakcie wdrożenia i
    zarządzania systemami
  • redukcja podwójnej dokumentacji i biurokracji
  • zwiększenie efektywności i skuteczności procesu audytów

Podstawowymi rozdziałami standardu są:

  • polityka
  • planowanie
  • wdrożenie i działalność operacyjna
  • ocena
  • doskonalenie
  • przegląd zarządzania

Każdy system zarządzania zbudowany w oparciu o standardy
międzynarodowe posiada własne wymagania, niemniej powyższe sześć wymagań,
zawarte jest  w każdym z nich, a przez to
może stanowić podstawę integracji w ramach systemu zintegrowanego. Dlatego PAS
99 używa tych samych kategorii, które stanowią wymagania modelu ramowego. Wiele
z wymagań poszczególnych standardów jest jednakowe, a te w szczególności mogą
stanowić podstawę dla systemu bazowego (rys.1

   

 

 
  Schemat blokowy: dokument: Wspólne wymagania,Schemat blokowy: dokument: Wspólne wymagania,Schemat blokowy: dokument: Wspólne wymagania,Schemat blokowy: dokument: Wspólne wymagania
 
    Schemat blokowy: dokument: PAS 99 Wspólne wymagania

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Powyższy rysunek  ukazuje że pomimo różnych systemów zarządzania
wymagania mogą być tak opracowane, że ich podstawowe elementy mogą być
prezentowane w ten sam sposób. Sześć wspólnych wymagań powinny wg autorów PAS
99 zostać zamknięte w pętli Deminga Planuj – Wykonuj – Sprawdzaj – Działaj. Tak
rozumiana integracja powinna być opracowana i wdrożona w sposób systemowy.

Zarządzanie
ryzykiem, podstawą projektowania i zarządzania systemem zintegrowanym

Wiele z pośród organizacji wdrożyło standardy zarządzania
z powodów zewnętrznej presji rynkowej lub wymagań prawnych. Systemy te z
różnych powodów nie zawsze były integrowane i mogło to wynikać z konkretnych
potrzeb biznesowych lub z braku systemowego podejścia do kolejno  wdrażanych standardów. Dlatego przystępując
do prac nad systemem w oparciu o PAS 99 organizacja powinna określić cele i
potrzeby biznesowe takiego przedsięwzięcia. Jeżeli kierownictwo nie dostrzega
daleko idących korzyści nie powinna decydować się na wdrożenie PAS 99. W
przypadku pozytywnej analizy korzyści wdrożenia PAS 99 organizacja w pierwszej
kolejności powinna dokonać oceny każdego z wymagań w kontekście wdrożonych
rozwiązań i na tej podstawie dokonywać zmian w systemie zarządzania. Cały
proces powinien być poprzedzony dogłębną analizą ryzyka i analizą zapewniającą
ciągłość działania w sytuacjach kryzysowych. Organizacja w szczególności
powinna określić, opracować, wdrożyć i zarządzać w tym zakresie:

  • aspektami działań operacyjnych, produktów i
    usług adekwatnych w kontekście wzynacyonego zakresu systemu
  • ocenz ryzyka poprzez określenie aspektów,
    które mogą mieć znaczący wpływ na działanie organizacji (czynniki krytyczne).

Zarządzanie
ryzykiem jest rozumiane jako zapewnienie odpowiedniego poziomu spełnienia celów
poprzez system informacji o zagrożeniach, jak również wiedzy o dostępnych
zabezpieczeniach w realizacji procesów.

Podstawą
wszelkich działań zarządczych w organizacji powinna być analiza bieżących.
Wiarygodna ocena systemu bez udokumentowanej i przeprowadzanej regularnie
analizy ryzyka jest niemożliwa, a wdrażane mechanizmy powinny być jedynie
efektem, naturalną konsekwencją wyników oceny ryzyka.

W kontekście
zarządzania kryzysowego PAS 99 zobowiązuje organizację do opracowania procedury
identyfikacji i przeciwdziałania nieplanowanym, potencjalnie kryzysowym lub
krytycznym zdarzeniom. Procedury w tym zakresie powinny zapewnić systemową
prewencję i przeciwdziałanie konsekwencją wystąpienia takich zdarzeń. Nierozerwalnym
elementem jest więc opracowanie planów ciągłości i działania operacyjnego, a
także ocena ryzyka związane z przerwaniem ciągłości działania i wprowadzaniem
zabezpieczeń dla ryzyk nieakceptowanych.

Wymagania PAS 99 jednoznacznie wskazują na fakt
zapewnienia przez organizację, że czynniki krytyczne podlegają przeglądowi w
ramach zintegrowanego systemu zarządzania.

Wdrożenie
rekomendacji zawartych w normie PAS 99 nie zapewni pełnego spełnienia wymagań
normy. Zasadniczym  celem normy jest
wskazanie działań, które powinny być podjęte w pierwszym etapie wdrożenia
systemu. Dlatego kwestia spełnienia części wymagań musi zostać odpowiednio
uwzględniona podczas projektowania i wdrożenia systemu. Implementacja systemu PAS
99 jest zadaniem ewolucyjnym – poszczególne wymagania wdrażane są w określonej
kolejności, nie można zaplanować i jednocześnie wdrożyć „wszystkich" wymagań.

 

Tabela
wspólnych wymagań PAS 99, ISO 9001, ISO 14001, OHSAS 18001

Wymagania
PAS 99

ISO 9001

ISO
14001

OHSAS
18001

4.1 Wymagania ogólne

4.1

4.1

4.1

4.2 Polityka systemu zarządzania

5.1,
5.3

4.2

4.2

4.3 Planowanie

 

4.3

4.3

4.3.1 Identyfikacja i ocena aspektów,
wpływu i ryzyka

5.2,
5.4.2, 7.2.1, 7.2.2

4.3.1

4.3.1

4.3.2 
Identyfikacja wymagań prawnych i innych wymagań

5.3
(b), 7.2.1 (c)

4.3.2

4.3.2

4.3.3 Planowanie kryzysowe

8.3

4.47

4.4.7

4.3.4 Cele

5.4.1

4.3.3

4.3.3

4.3.5 Struktura organizacyjna, role,
odpowiedzialności i uprawnienia

5.5

4.4.1

4.4.1

4.4.4 Wdrożenie i działania operacyjne

 

 

 

4.4.1 Kontrola operacyjna

7

4.4.6

4.4.6

4.4.2 Zarządzanie zasobami

6

4.4.1,
4.4.2

4.4.1,
4.4.2

4.4.3 Wymagania dokumentacyjne

4.2

4.4.4,
4.45, 4.5.4

4.4.4,
4.45, 4.5.3

4.4.4 Komunikacja

5.5.3,
7.2.3, 5.3 (d), 5.5.1

4.4.3

4.4.3

4.5 Ocena działania

 

 

 

4.5.1 Monitorowanie i ocena

8.1

4.5.1

4.5.1

4.5.2 Ocena zgodności

8.2.4

4.5.2

4.5.1

4.5.3 Audyty
wewnętrzne

8.2.2

4.5.5

4.5.4

4.5.4 Zarządzanie niezgodnościami

8.3

4.5.3

4.5.2

4.6 Doskonalenie

 

 

 

4.6.1 Wymagania ogólne

8.5.1

4.5.3

4.5.2

4.6.2 Działania korygujące, zapobiegawcze i
doskonalące

8.5.2,
8.5.3

4.5.3

4.5.2

4.7 Przegląd zarządzania

 

 

 

4.7.1 Wymagania ogólne

5.6.1

4.6

4.6

4.7.2 Dane wejściowe

5.6.2

 

 

4.7.3 Dane wyjściowe

5.6.3