Norma ISO 28000 dotyczy systemu zarządzania bezpieczeństwem łańcucha dostaw i może być stosowana przez organizacje o różnej wielkości, zajmujące się produkcją, usługami, magazynowaniem lub transportem. Standard pomaga organizacjom zminimalizować ryzyko wystąpienia incydentów.
Nowe wymogi IKEA
Norma ISO 28000 z roku na rok zyskuje na popularności. Wynika to m.in. z faktu, że coraz większa liczba klientów przed podpisaniem kontraktu na usługi transportowe i logistyczne pyta o certyfikat. Do grona tych klientów dołączyła niedawno IKEA. Szwedzki koncern poprosił swoich partnerów biznesowych aby najpóźniej do 31 sierpnia 2020 roku uzyskali certyfikację w ramach jednego z wymaganych standardów. Wśród nich jest m.in. standard ISO 28000. Wielu podwykonawców IKEA stanęło zatem przed zupełnie nowym wyzwaniem.
Łańcuch dostaw obecnie można zdefiniować jako „łańcuch wyzwań” związanych z rosnącymi kosztami, niedoborem kapitału ludzkiego, presją na skracanie czasów dostaw, automatyzacją i dostosowaniem systemów informatycznych, jak również z adekwatnym do zmiennych warunków zabezpieczeniem operacji.
W niniejszym artykule skupimy się na bezpieczeństwie łańcucha dostaw. Przedstawimy dobre praktyki, zasady które należy wziąć pod uwagę przy identyfikacji zagrożeń i wdrażaniu zabezpieczeń w łańcuchu dostaw.
Zasady przedstawione w tym artykule są poparte kilkunastoletnią praktyką w projektach z zakresu podnoszenia efektywności i bezpieczeństwa operacji w łańcuchu dostaw. Są one także ukierunkowane na zgodność z wytycznymi międzynarodowego standardu ISO 28000:2007 „Specyfikacja systemów zarządzania bezpieczeństwem dla łańcucha dostaw”.
Zakres działania systemu zarządzania bezpieczeństwem
Zakres działania systemu zarządzania bezpieczeństwem musi obejmować przepływ towarów, przepływ informacji i przepływy finansowe od momentu planowania dostaw zaopatrzeniowych do momentu dostarczenia wyrobu gotowego do Klienta. Należy tu uwzględnić (jeśli to możliwe) wszystkich uczestników łańcucha, którzy w sposób bezpośredni lub pośredni wpływają na niego.
Narzędziem ułatwiającym określenie zakresu i formy zabezpieczeń mogą być mapy i karty procesów. W zależności od potrzeb i poziomu skomplikowania procesów sporządzamy je z różnym poziomem szczegółowości dla procesów głównych (związanych bezpośrednio z przepływem towaru, informacji i środków pieniężnych) oraz wspierających (zapewniających wsparcie m.in.: procesy IT, HR, administracja, zarządzanie informacją i ochroną danych osobowych).
Cele i zadania systemu zarządzania bezpieczeństwem
Ustalone cele i zadania w zakresie zarządzania bezpieczeństwem muszą być powiązanez celami biznesowymi stawianymi menedżerom oraz z zadaniami realizowanymi przez pracowników firmy.
Cele powinny być mierzalne. Stopień zaawansowania realizacji powinien być przeglądany cyklicznie aby zapewnić, że pozostają one w dalszym ciągu aktualne i zgodne z przyjętą polityką.
Zadania powinny wspierać osiągnięcie przyjętych celów w zakresie bezpieczeństwa łańcucha dostaw. Wykonawcy zadań powinni przyjąć je do realizacji, być za nie odpowiedzialni, ale także mieć odpowiednie uprawnienia do ich wykonania.
Analiza ryzyka
Na proces analizy ryzyka składa się identyfikacja, szacowanie oraz ocena ryzyka. Dla wybranych ryzyk (spełniających kryteria ważności) ustalany jest plan postępowania z ryzykiem.
W ramach identyfikacji określony jest katalog zagrożeń – scenariusze ryzyka z podziałem na obszary występowania. Definiuje się słabe punkty zasobów i procesów oraz ich podatności. Określa się też właścicieli ryzyk oraz inne role i odpowiedzialności.
Szacowanie zawiera przybliżoną ocenę wpływu danego zagrożenia na biznes oraz przybliżoną ocenę prawdopodobieństwa (materializacji) wystąpienia danego zagrożenia.
Ocena ryzyka wykorzystuje zebrane, ustalone parametry i ustala wartość ryzyka. W zależności od wyniku oceny ryzyka dla każdego scenariusza wystąpienia należy zaplanować i podjąć stosowne działania ujęte w planie postępowania z ryzykiem.
Istotne dla procesu analizy ryzyka jest określenie metodyki. Wartości prawdopodobieństwa wystąpienia zdarzenia i jego wpływu na biznes powinny zostać określone adekwatnie do prowadzonego biznesu i skupiać się na zasobach oraz procesach krytycznych dla organizacji. Wpływ na organizację może dotyczyć m.in. potencjalnych strat finansowych, braków osobowych, zatrzymania krytycznych operacji, strat wizerunkowych. Określenie parametrów oceny umożliwi wykonywanie analizy ryzyka w sposób systematyczny i zapewnieni porównywalność wyników przy każdym kolejnym przeglądzie.
Gotowość reagowania na zdarzenia
W kolejnym kroku konieczne jest wdrożenie zabezpieczeń – technicznych, organizacyjnych. Pozwalają one na zwiększenie skuteczności działań w sytuacjach awaryjnych i ograniczenie negatywnych skutków wystąpienia zdarzeń niepożądanych. Buduje to odporność na nieuprawnione działanie osób lub firm, których celem jest spowodowanie szkody, awarii naszego systemu bezpieczeństwa. W wielu przypadkach niezbędne jest sporządzenie od nowa lub uzupełnienie istniejących procedur operacyjnych. Konieczne jest także zbudowanie planu komunikacji po wystąpieniu incydentu. Zbudowany plan powinien podlegać testowaniu. Takie podejście zwiększa świadomośći odpowiedzialność pracowników w kwestiach związanych z bezpieczeństwem. Umożliwia także spełnienie wymagań i standardów narzucanych przez otoczenie firmy.
Rady dla przedsiębiorstw wdrażających ISO 28000:2007 dla IKEA
Jeżeli chcesz dowiedzieć się więcej na temat uzyskania certyfikatu ISO 28000 dla IKEA skontaktuj się z nami za pośrednictwem formularza kontaktowego lub zadzwoń pod numer 22 649 76 64.
Autor artykułu: Tomasz Dobczyński,