ISO 28000 bezpieczeństwo łańcucha

Bezpieczeństwo wg ISO 28000:2007 – „nowa cecha jakości” w łańcuchu dostaw

Organizacje uczestniczące w łańcuchu dostaw, mają dziś nowy fundament do rozwoju i doskonalenia swoich działań – standard  „ISO 28000:2007 – System zarządzania bezpieczeństwem w łańcuchu dostaw – wymagania”. Na poziomie organizacji celem wdrożenia standardu jest zarządzanie bezpieczeństwem łańcucha w zakresie, w którym organizacja uczestniczy i za który odpowiada (np. produkcja, transport, magazynowanie, itd). W ujęciu globalnym, to przede wszystkim promowanie zaintegrowanych działań na rzecz poprawy bezpieczeństwa (wsparcie dla innych standardwów AEO, C-TPAT) i zaufania między parterami biznesowymi. Zbiór dobrych praktyk ujęty w normie daje również podstawy organizacjom do weryfikacji i oceny poziomu bezpieczeństwa u dostawców.

Standard ISO 28000 nie różni się co do podstaw (zasada P-D-C-A) i wymagań ( nadzór nad dokumentacją i zapisami, audyty wewnętrzne, przegląd zarządzania, działania korygujące) od innych standardów (ISO 9001, ISO 14001, itd.). Ułatwia to integrację i wykorzystanie funkcjonujących już w organizacji mechanizmów. Granica łańcucha (ustalony zakres odpowiedzialności) organizacji stanowi daną wyjściową do prowadzenia działań związanych z projektowaniem i wdrożeniem systemu. Analiza realizowanych w organizacji procesów powinna prowadzić do określenia poziomu bezpieczeństwa łańcucha. Ze względu na rodzaj prowadzonej działalności, o jego określeniu mogą decydować różne czynniki. Element, który wspiera proces analizy, to  zaszyte w wymaganiach normy wymagania dot. zarządzania ryzykiem. W „rozebranym na części” łańcuch należy określić możliwe zagrożenia, gdzie do najczęściej wymienianych m.in. należą, np.:

  • zakłócenia i opóźnienia w dostawie,
  • możliwość ataku terrorystycznego,
  • przemytu,
  • zagrożenie dla środowiska
  • bezpieczeństwo fizyczne ludzi,
  • uszkodzenie towaru,
  • nie spełnienie wymagań prawnych,
  • przepływ i bezpieczeństwo danych,
  • ciągłość działania systemów IT,
  • nierzetelność podwykonawców.

W odniesieniu do zidentyfikowanych zagrożeń należy określić prawdopodobieństwo wystąpienia oraz skutki ich wystąpienia.. W efekcie otrzymujemy ranking ryzyk i określamy tzw. „apetyt organizacji na ryzyko”. Zagrożenia i idące za nimi ryzyka, które nie są akceptowane przez organizację wchodzą w skład „programu bezpieczeństwa”. W programie organizacja musi określić jakie działania podejmie w zakresie minimalizacji ryzyk nieakceptowanych. W zależności od zagrożenia może stosować różne rozwiązania:

  • organizacyjne (np. proceduralne, uszczegółowienie zakresu odpowiedzialności),
  • techniczne (strefy bezpieczeństwa z określonym dostępem),
  • technologiczne (minimalizacja ingerencji człowieka w proces).

Wyniki analizy stanowią również źródło dla opracowania innych elementów systemu:

  • polityki bezpieczeństwa (określenie celów ochrony)
  • systemu gotowości na reakcje (opracowanie scenariuszy zagrożeń, planów awaryjnych)

W wielu organizacjach zarządzanie ryzkiem jest pojęciem nowym. Przeprowadzanie analizy ryzyka nie jest zadaniem łatwym i często ocena możliwych skutków jest trudna do oszacownia. Organizacja powinna określić metodykę na podstawie, której oparty jest cały proces analizy ryzyka, co zapewni jej powtarzalność oraz możliwość porównania wyników kolejnych ocen ryzyk i skuteczności stosowanych zabezpieczeń. Ważnym jest również dobór odpowiednich osób do zespołu, które będą uczestniczyły w tym procesie. Wsparciem dla przeprowadzenia całego procesu analizy ryzyka, oceny skutków i prawdopodobieństwa jest norma ISO 28001:2007. Wspomniany wyżej mechanizm gotowości wymusza na organizacji tworzenie odpowiednich planów „co by było gdyby”. Powinny one zostać podane weryfikacji „na żywo”, z których to organizacja powinna prowadzić zapisy i wyciągać wnioski do ich doskonalenia. Identyfikacja działań w łańcuchu dostaw musi prowadzić również do oceny wszystkich procesów, które organizacja zleca na zewnątrz (transport, ochrona budynków, nadzór nad IT, obsługa prawna), które wpływają na założony poziom bezpieczeństwa. Ważnym więc we współpracy ze stronami trzecimi będzie komunikowanie informacji nt. polityki bezpieczeństwa i zawartych w niej celów ochrony.

Nie ma ograniczeń co do wielkości i rodzaju organizacji, które mogą wdrożyć standard (wytwórcy, eksporterzy, spedytorzy, przewoźnicy, agencje celne, importerzy) należy ocenić oczywiście wartość dodaną, którą wdrożenie standardu przyniesie.

Norma ISO 28000 znajduje również ścisłe powiązanie z innym wymaganiem – normą ISO 27001:2005. Zidentyfikowane zagrożenia co do bezpieczeństwa w łańcuchu dostaw powiązane są również ściśle z ochroną informacji i mogą być zarządzane prze wdrożenie dobrych praktyk opisanych w przywołanej normie. Innym standardem, do którego można się odnieść, który pośrednio może również wpływać na poprawę poziomu bezpieczeństwa to wdrażanie mechanizmów dot. zarządzania ciągłością działania w oparciu o normę BS 25999-2:2007. Katalizatorem do zainteresowania tym standardem może również być instytucja Upoważnionego przedsiębiorcy (AEO). W wymaganiach określonych przez UE dla organizacji ubiegających się o świadectwa AEO zawarte są kryteria oceny dot. bezpieczeństwa organizacji. W tym obszarze jest bezpośrednie odwołanie do wymagań normy ISO 28000. Otrzymanie świadectwa AEO daje organizacji wymierne korzyści związane z ułatwieniami dot. procedur celnych. Tym samym wdrożenie ISO 28000 powoduje spełnienie określonych wymagań AEO.

Do najważniejszych efektów budowanego systemu można zaliczyć:

  • Zwiększenie zaufania ze strony parterów biznesowych,
  • Systemowe podejście do zarządzania ryzykiem,
  • Budowanie odporności i elastyczności łańcucha dostaw,
  • Podnoszenie świadomości pracowników co do zagrożeń,
  • Przygotowanie organizacji na możliwości wystąpienia różnych zagrożeń,
  • Zwiększenie efektywność mechanizmów stosowanych w wyniku wystąpienia zagrożenia,
  • Rzadsze kradzieże i straty,
  • Niższe koszty ubezpieczenia działalności.

Maciej Skała
Członek Zarządu