Eksperci PBSG komentują wymagania PAS 99
Zarządzanie ryzykiem i ciągłością działania podstawą wdrażana zintegrowanych systemów zarządzania.
Wiele organizacji wdrożyło lub jest w trakcie wdrażania formalnych systemów zarządzana w oparciu o międzynarodowe wymagania lub specyfikacje, do których należą ISO 9001, ISO 14001, ISO/IEC 27001, ISO 220000, ISO/IEC 20000, OHSAS 18001, czy BS 25999. Większość z nich podlega mechanizmom większej lub mniejszej integracji, co widoczne jest w oddzielnym lub zintegrowanym działaniu tych systemów na poziomie operacyjnym i strategicznym. We wszystkich systemach zarządzania zbudowanych w oparciu o standardy międzynarodowe istnieje kilka wspólnych elementów, które mogą być zarządzane w sposób zintegrowany. W związku z tym, opracowano specyfikację wspólnych wymagań dla jednolitego systemu zintegrowanego – PAS 99.
Pierwotnie autorzy PAS 99 kierowali wydanie normy do organizacji, które posiadały wdrożone systemy zarządzania w oparciu o dwa lub więcej standardów. Niemniej obecnie bez znaczenia pozostaje ilość wdrożonych systemów, ponieważ środek ciężkości został przesunięty w część dotyczącą zgodności oceny skuteczności i efektywności systemu. Dlatego organizacje, które podejmują decyzję o wdrożeniu wymagań PAS 99 muszą traktować wymagania np. ISO 9001, ISO 14001, ISO/IEC 27001, ISO 220000, ISO/IEC 20000, OHSAS 18001, BS 25999, jako wymagania szczegółowe systemu zintegrowanego. Zgodność z PAS 99 nie zapewnia samo w sobie zgodności z wymaganiami wybranego standardu. Poszczególne wymagania każdego ze standardów wciąż pozostają podstawą struktury systemu i procesu certyfikacji. Certyfikacja w odniesieniu jedynie do wymagań PAS 99 jest więc niemożliwa.
Opracowanie PAS 99 jest inicjatywą, która w istocie ma pomóc osiągnąć organizacjom korzyści z konsolidacji wspólnych wymagań występujących we wszystkich standardach. Korzyści, jakie wynikają z takiego podejścia są następujące:
- precyzyjne skupienie na działalności podstawowej
- całościowe podejście do Zarządzania ryzykiem
- zmniejszenie konfliktu w trakcie wdrożenia i zarządzania systemami
- redukcja podwójnej dokumentacji i biurokracji
- zwiększenie efektywności i skuteczności procesu audytów
Podstawowymi rozdziałami standardu są:
- polityka
- planowanie
- wdrożenie i działalność operacyjna
- ocena
- doskonalenie
- przegląd zarządzania
Każdy system zarządzania zbudowany w oparciu o standardy międzynarodowe posiada własne wymagania, niemniej powyższe sześć wymagań, zawarte jest w każdym z nich, a przez to może stanowić podstawę integracji w ramach systemu zintegrowanego. Dlatego PAS 99 używa tych samych kategorii, które stanowią wymagania modelu ramowego. Wiele z wymagań poszczególnych standardów jest jednakowe, a te w szczególności mogą stanowić podstawę dla systemu bazowego.
Powyższy rysunek ukazuje że pomimo różnych systemów zarządzania wymagania mogą być tak opracowane, że ich podstawowe elementy mogą być prezentowane w ten sam sposób. Sześć wspólnych wymagań powinny wg autorów PAS 99 zostać zamknięte w pętli Deminga Planuj – Wykonuj – Sprawdzaj – Działaj. Tak rozumiana integracja powinna być opracowana i wdrożona w sposób systemowy.
Zarządzanie ryzykiem, podstawą projektowania i zarządzania systemem zintegrowanym
Wiele z pośród organizacji wdrożyło standardy zarządzania z powodów zewnętrznej presji rynkowej lub wymagań prawnych. Systemy te z różnych powodów nie zawsze były integrowane i mogło to wynikać z konkretnych potrzeb biznesowych lub z braku systemowego podejścia do kolejno wdrażanych standardów. Dlatego przystępując do prac nad systemem w oparciu o PAS 99 organizacja powinna określić cele i potrzeby biznesowe takiego przedsięwzięcia. Jeżeli kierownictwo nie dostrzega daleko idących korzyści nie powinna decydować się na wdrożenie PAS 99. W przypadku pozytywnej analizy korzyści wdrożenia PAS 99 organizacja w pierwszej kolejności powinna dokonać oceny każdego z wymagań w kontekście wdrożonych rozwiązań i na tej podstawie dokonywać zmian w systemie zarządzania. Cały proces powinien być poprzedzony dogłębną analizą ryzyka i analizą zapewniającą ciągłość działania w sytuacjach kryzysowych. Organizacja w szczególności powinna określić, opracować, wdrożyć i zarządzać w tym zakresie:
- aspektami działań operacyjnych, produktów i usług adekwatnych w kontekście wyznaczonego zakresu systemu
- ocena ryzyka poprzez określenie aspektów, które mogą mieć znaczący wpływ na działanie organizacji (czynniki krytyczne).
Zarządzanie ryzykiem jest rozumiane jako zapewnienie odpowiedniego poziomu spełnienia celów poprzez system informacji o zagrożeniach, jak również wiedzy o dostępnych zabezpieczeniach w realizacji procesów.
Podstawą wszelkich działań zarządczych w organizacji powinna być analiza bieżących. Wiarygodna ocena systemu bez udokumentowanej i przeprowadzanej regularnie analizy ryzyka jest niemożliwa, a wdrażane mechanizmy powinny być jedynie efektem, naturalną konsekwencją wyników oceny ryzyka. W kontekście
zarządzania kryzysowego PAS 99 zobowiązuje organizację do opracowania procedury identyfikacji i przeciwdziałania nieplanowanym, potencjalnie kryzysowym lub krytycznym zdarzeniom. Procedury w tym zakresie powinny zapewnić systemową prewencję i przeciwdziałanie konsekwencją wystąpienia takich zdarzeń. Nierozerwalnym elementem jest więc opracowanie planów ciągłości i działania operacyjnego, a także ocena ryzyka związane z przerwaniem ciągłości działania i wprowadzaniem zabezpieczeń dla ryzyk nieakceptowanych.
Wymagania PAS 99 jednoznacznie wskazują na fakt zapewnienia przez organizację, że czynniki krytyczne podlegają przeglądowi w
ramach zintegrowanego systemu zarządzania. Wdrożenie
rekomendacji zawartych w normie PAS 99 nie zapewni pełnego spełnienia wymagań normy. Zasadniczym celem normy jest
wskazanie działań, które powinny być podjęte w pierwszym etapie wdrożenia systemu. Dlatego kwestia spełnienia części wymagań musi zostać odpowiednio uwzględniona podczas projektowania i wdrożenia systemu. Implementacja systemu PAS 99 jest zadaniem ewolucyjnym – poszczególne wymagania wdrażane są w określonej
kolejności, nie można zaplanować i jednocześnie wdrożyć „wszystkich” wymagań.
Tabela wspólnych wymagań PAS 99, ISO 9001, ISO 14001, OHSAS 18001
| Wymagania PAS 99 |
ISO 9001 | ISO 14001 |
OHSAS 18001 |
| 4.1 Wymagania ogólne | 4.1 | 4.1 | 4.1 |
| 4.2 Polityka systemu zarządzania | 5.1, 5.3 |
4.2 | 4.2 |
| 4.3 Planowanie | 4.3 | 4.3 | |
| 4.3.1 Identyfikacja i ocena aspektów, wpływu i ryzyka |
5.2, 5.4.2, 7.2.1, 7.2.2 |
4.3.1 | 4.3.1 |
| 4.3.2 Identyfikacja wymagań prawnych i innych wymagań |
5.3 (b), 7.2.1 (c) |
4.3.2 | 4.3.2 |
| 4.3.3 Planowanie kryzysowe | 8.3 | 4.47 | 4.4.7 |
| 4.3.4 Cele | 5.4.1 | 4.3.3 | 4.3.3 |
| 4.3.5 Struktura organizacyjna, role, odpowiedzialności i uprawnienia |
5.5 | 4.4.1 | 4.4.1 |
| 4.4.4 Wdrożenie i działania operacyjne | |||
| 4.4.1 Kontrola operacyjna | 7 | 4.4.6 | 4.4.6 |
| 4.4.2 Zarządzanie zasobami | 6 | 4.4.1, 4.4.2 |
4.4.1, 4.4.2 |
| 4.4.3 Wymagania dokumentacyjne | 4.2 | 4.4.4, 4.45, 4.5.4 |
4.4.4, 4.45, 4.5.3 |
| 4.4.4 Komunikacja | 5.5.3, 7.2.3, 5.3 (d), 5.5.1 |
4.4.3 | 4.4.3 |
| 4.5 Ocena działania | |||
| 4.5.1 Monitorowanie i ocena | 8.1 | 4.5.1 | 4.5.1 |
| 4.5.2 Ocena zgodności | 8.2.4 | 4.5.2 | 4.5.1 |
| 4.5.3 Audyty wewnętrzne |
8.2.2 | 4.5.5 | 4.5.4 |
| 4.5.4 Zarządzanie niezgodnościami | 8.3 | 4.5.3 | 4.5.2 |
| 4.6 Doskonalenie | |||
| 4.6.1 Wymagania ogólne | 8.5.1 | 4.5.3 | 4.5.2 |
| 4.6.2 Działania korygujące, zapobiegawcze i doskonalące |
8.5.2, 8.5.3 |
4.5.3 | 4.5.2 |
| 4.7 Przegląd zarządzania | |||
| 4.7.1 Wymagania ogólne | 5.6.1 | 4.6 | 4.6 |
| 4.7.2 Dane wejściowe | 5.6.2 | ||
| 4.7.3 Dane wyjściowe | 5.6.3 |