PDF | Print |  E-mail  | Archive
2007-10-03

Zarządzanie ryzykiem i ciągłością działania podstawą wdrażana zintegrowanych systemów zarządzania - eksperci PBSG komentują podstawową strukturę wymagań PAS 99.

Wiele  organizacji wdrożyło lub jest w trakcie wdrażania formalnych systemów zarządzana w oparciu o międzynarodowe wymagania lub specyfikacje, do których należą ISO 9001, ISO 14001, ISO/IEC 27001, ISO 220000, ISO/IEC 20000, OHSAS 18001, czy BS 25999. Większość z nich podlega mechanizmom większej lub mniejszej integracji, co widoczne jest w oddzielnym lub zintegrowanym działaniu tych systemów na poziomie operacyjnym i strategicznym. We wszystkich systemach zarządzania zbudowanych w oparciu o standardy międzynarodowe istnieje kilka wspólnych elementów, które mogą być zarządzane w sposób zintegrowany. W związku z tym, opracowano specyfikację wspólnych wymagań dla jednolitego systemu zintegrowanego - PAS 99.

Pierwotnie autorzy PAS 99 kierowali wydanie normy do organizacji, które posiadały wdrożone systemy zarządzania w oparciu o dwa lub więcej standardów. Niemniej obecnie bez znaczenia pozostaje ilość wdrożonych systemów, ponieważ środek ciężkości został przesunięty w część dotyczącą zgodności oceny skuteczności i efektywności systemu.  Dlatego organizacje, które podejmują decyzję o wdrożeniu wymagań PAS 99 muszą traktować wymagania np. ISO 9001, ISO 14001, ISO/IEC 27001, ISO 220000, ISO/IEC 20000, OHSAS 18001, BS 25999, jako wymagania szczegółowe systemu zintegrowanego. Zgodność z PAS 99 nie zapewnia samo w sobie zgodności z wymaganiami wybranego standardu. Poszczególne wymagania każdego ze standardów wciąż pozostają podstawą struktury systemu i procesu certyfikacji. Certyfikacja w odniesieniu jedynie do wymagań PAS 99 jest więc niemożliwa.

Opracowanie PAS 99 jest inicjatywą, która w istocie ma pomóc osiągnąć organizacjom korzyści z konsolidacji wspólnych wymagań występujących we wszystkich standardach. Korzyści, jakie wynikają z takiego podejścia są następujące:

  • precyzyjne skupienie na działalności podstawowej
  • całościowe podejście do Zarządzania ryzykiem
  • zmniejszenie konfliktu w trakcie wdrożenia i zarządzania systemami
  • redukcja podwójnej dokumentacji i biurokracji
  • zwiększenie efektywności i skuteczności procesu audytów

Podstawowymi rozdziałami standardu są:

  • polityka
  • planowanie
  • wdrożenie i działalność operacyjna
  • ocena
  • doskonalenie
  • przegląd zarządzania

Każdy system zarządzania zbudowany w oparciu o standardy międzynarodowe posiada własne wymagania, niemniej powyższe sześć wymagań, zawarte jest  w każdym z nich, a przez to może stanowić podstawę integracji w ramach systemu zintegrowanego. Dlatego PAS 99 używa tych samych kategorii, które stanowią wymagania modelu ramowego. Wiele z wymagań poszczególnych standardów jest jednakowe, a te w szczególności mogą stanowić podstawę dla systemu bazowego

pas_99

Powyższy rysunek  ukazuje że pomimo różnych systemów zarządzania wymagania mogą być tak opracowane, że ich podstawowe elementy mogą być prezentowane w ten sam sposób. Sześć wspólnych wymagań powinny wg autorów PAS 99 zostać zamknięte w pętli Deminga Planuj - Wykonuj - Sprawdzaj - Działaj. Tak rozumiana integracja powinna być opracowana i wdrożona w sposób systemowy.

Zarządzanie ryzykiem, podstawą projektowania i zarządzania systemem zintegrowanym

Wiele z pośród organizacji wdrożyło standardy zarządzania z powodów zewnętrznej presji rynkowej lub wymagań prawnych. Systemy te z różnych powodów nie zawsze były integrowane i mogło to wynikać z konkretnych potrzeb biznesowych lub z braku systemowego podejścia do kolejno  wdrażanych standardów. Dlatego przystępując do prac nad systemem w oparciu o PAS 99 organizacja powinna określić cele i potrzeby biznesowe takiego przedsięwzięcia. Jeżeli kierownictwo nie dostrzega daleko idących korzyści nie powinna decydować się na wdrożenie PAS 99. W przypadku pozytywnej analizy korzyści wdrożenia PAS 99 organizacja w pierwszej kolejności powinna dokonać oceny każdego z wymagań w kontekście wdrożonych rozwiązań i na tej podstawie dokonywać zmian w systemie zarządzania. Cały proces powinien być poprzedzony dogłębną analizą ryzyka i analizą zapewniającą ciągłość działania w sytuacjach kryzysowych. Organizacja w szczególności powinna określić, opracować, wdrożyć i zarządzać w tym zakresie:

  • aspektami działań operacyjnych, produktów i usług adekwatnych w kontekście wyznaczonego zakresu systemu
  • oceny ryzyka poprzez określenie aspektów, które mogą mieć znaczący wpływ na działanie organizacji (czynniki krytyczne).

Zarządzanie ryzykiem w PAS 99 rozumiane  jest jako zapewnienie odpowiedniego poziomu spełnienia celów poprzez system informacji o zagrożeniach, jak również wiedzy o dostępnych zabezpieczeniach w realizacji procesów.

Podstawą wszelkich działań zarządczych w organizacji powinna być analiza bieżących zagrożeń. Wiarygodna ocena systemu bez udokumentowanej i przeprowadzanej regularnie analizy ryzyka jest niemożliwa, a wdrażane mechanizmy powinny być jedynie efektem, naturalną konsekwencją wyników oceny ryzyka.

W kontekście zarządzania kryzysowego PAS 99 zobowiązuje organizację do opracowania procedur identyfikacji i przeciwdziałania nieplanowanym, potencjalnie kryzysowym lub krytycznym zdarzeniom. Dokumentacja w tym zakresie powinna zapewnić systemową prewencję i przeciwdziałanie konsekwencjom wystąpienia takich zdarzeń. Nierozerwalnym elementem systemu jest więc opracowanie planów ciągłości i działania operacyjnego, a także ocena ryzyka związana z przerwaniem ciągłości działania i wprowadzaniem zabezpieczeń dla ryzyk nieakceptowanych.

Wymagania PAS 99 jednoznacznie wskazują na fakt zapewnienia przez organizację, że czynniki krytyczne podlegają przeglądowi w ramach zintegrowanego systemu zarządzania.

Wdrożenie rekomendacji zawartych w normie PAS 99 nie zapewni pełnego spełnienia wymagań normy. Zasadniczym  celem normy jest wskazanie działań, które powinny być podjęte w pierwszym etapie wdrożenia systemu. Dlatego kwestia spełnienia części wymagań musi zostać odpowiednio uwzględniona podczas projektowania i wdrożenia systemu. Implementacja systemu PAS 99 jest zadaniem ewolucyjnym - poszczególne wymagania wdrażane są w określonej kolejności, nie można zaplanować i jednocześnie wdrożyć „wszystkich" wymagań.

 

Tabela wspólnych wymagań PAS 99, ISO 9001, ISO 14001, OHSAS 18001

Wymagania PAS 99

ISO 9001

ISO 14001

OHSAS 18001

4.1 Wymagania ogólne

4.1

4.1

4.1

4.2 Polityka systemu zarządzania

5.1, 5.3

4.2

4.2

4.3 Planowanie

 

4.3

4.3

4.3.1 Identyfikacja i ocena aspektów, wpływu i ryzyka

5.2, 5.4.2, 7.2.1, 7.2.2

4.3.1

4.3.1

4.3.2  Identyfikacja wymagań prawnych i innych wymagań

5.3 (b), 7.2.1 (c)

4.3.2

4.3.2

4.3.3 Planowanie kryzysowe

8.3

4.47

4.4.7

4.3.4 Cele

5.4.1

4.3.3

4.3.3

4.3.5 Struktura organizacyjna, role, odpowiedzialności i uprawnienia

5.5

4.4.1

4.4.1

4.4.4 Wdrożenie i działania operacyjne

     

4.4.1 Kontrola operacyjna

7

4.4.6

4.4.6

4.4.2 Zarządzanie zasobami

6

4.4.1, 4.4.2

4.4.1, 4.4.2

4.4.3 Wymagania dokumentacyjne

4.2

4.4.4, 4.45, 4.5.4

4.4.4, 4.45, 4.5.3

4.4.4 Komunikacja

5.5.3, 7.2.3, 5.3 (d), 5.5.1

4.4.3

4.4.3

4.5 Ocena działania

     

4.5.1 Monitorowanie i ocena

8.1

4.5.1

4.5.1

4.5.2 Ocena zgodności

8.2.4

4.5.2

4.5.1

4.5.3 Audyty wewnętrzne

8.2.2

4.5.5

4.5.4

4.5.4 Zarządzanie niezgodnościami

8.3

4.5.3

4.5.2

4.6 Doskonalenie

     

4.6.1 Wymagania ogólne

8.5.1

4.5.3

4.5.2

4.6.2 Działania korygujące, zapobiegawcze i doskonalące

8.5.2, 8.5.3

4.5.3

4.5.2

4.7 Przegląd zarządzania

     

4.7.1 Wymagania ogólne

5.6.1

4.6

4.6

4.7.2 Dane wejściowe

5.6.2

   

4.7.3 Dane wyjściowe

5.6.3

   

Komentarz PBSG do wszystkich wymagń PAS 99 w kontekście zarządzania ryzykiem znajdzie się w najnowszej publikacji wydawnictwa Verlag.

 
copyright: PBSG 2006-2012||Projekt: Agencja Reklamowa Cactus Studio