2.2.18
Specifikace pro systémy managementu bezpečnosti dodavatelských
řetězců - ČSN ISO 28000:2010
Doc. Ing. Alois Fiala, CSc.
V červnu tohoto roku vyšla v ČR nová norma týkající se systému
managementu, tentokrát vztahující se k dodavatelským řetězcům, kterou je CSN
ISO 28000:2010. Jedná se o první vydání mezinárodní normy ISO 28000 z roku 2007
v ČR.
Struktura a obsah normy je následující:
-
předmět,
-
citované normativní dokumenty (nejsou žádné),
-
termíny a definice,
-
prvky systému managementu, ke kterým patří:
-
všeobecné požadavky,
-
politika managementu bezpečnosti,
-
posuzování bezpečnostních rizik a plánování,
-
zavedení a provoz,
-
kontrola a nápravná opatření,
-
přezkoumání systému managementu a neustálé zlepšování.
V příloze je pak tabulka znázorňující vztah mezi ISO 9001, ISO 28000
a ISO 14001.
Z výše uvedené struktury je zřejmé, že se norma blíží spíše svým
obsahem a uspořádáním požadavků normě ISO 14001 (a ještě více možná požadavkům
normy OHSAS 18001:2007 nebo ISO/IEC 27001), ale lze ji využít i v rámci systému
integrovaného managementu např. spolu se systémem managementu kvality dle ISO
9001:2008.
Co je dodavatelský řetězec a pro koho je norma
určena?
NahoruDefinice a určení normy
Dodavatelský řetězec ve smyslu této normy zahrnuje všechny propojené
články procesu dodávání počínaje shromažďováním surovin a konče dodávkou
produktu spotřebiteli (koncovému uživateli). Může tedy zahrnovat např.
následující skupiny:
Norma je použitelná pro všechny tyto organizace jakékoli velikosti,
malé i mezinárodní holdingy, ve výrobě i ve službách, jako je doprava,
skladování a jiné části dodavatelského řetězce.
Co znamená bezpečnost dodavatelského
řetězce?
NahoruBezpečnost dodavatelského řetězce
Bezpečnost zde znamená odolnost proti takovým událostem, které mohou
poškodit dodavatelský řetězec nebo ty, kdo jej využívají, ať už úmyslně, nebo
neúmyslně.
Neustálé zlepšování pak tato norma specifikuje jako zvyšování úrovně
bezpečnosti.
NahoruPodstata systému
Tak jako v oblasti environmentálního managementu (EMS) je podstatou
identifikovat aspekty a dopady na životní prostředí, podstatou systému
managementu bezpečnosti a ochrany zdraví při práci (BOZP) je identifikovat a
analyzovat rizika možného poškození zdraví a konečně např. podstatou systému
managementu bezpečnosti informací (ISMS) je identifikovat hrozby, zranitelnosti
vůči těmto hrozbám, stanovovat míru rizika a odpovídající plán opatření, v
tomto systému managementu bezpečnosti dodavatelského řetězce je pak
podstatou:
-
identifikovat bezpečnostní hrozby,
-
posoudit hrozby a rizika,
-
vyhodnocovat hrozby a rizika,
-
na základě hodnocení stanovit priority a opatření,
-
zavést a monitorovat stanovená opatření.
Posuzování bezpečnostních rizik je třeba provádět na základě
schválené metodiky, která by měla vycházet z pravděpodobnosti události a
možného následku, a výsledný registr rizik je třeba udržovat v aktuální
podobě.
NahoruPříklady
NahoruKonkrétní příklady
Příklady bezpečnostních hrozeb v rámci dodavatelského
řetězce:
-
fyzická selhání (např. selhání funkčnosti zařízení, úmyslná
fyzická poškození),
-
provozní selhání (např. selhání lidského faktoru),
-
přírodní události (např. povodeň, záplavy),
-
externí hrozby (např. selhání outsourcovaných neboli externě
zajištěných činností),
-
hrozby z oblasti zainteresovaných stran (např. stát - nesplnění
požadavků právních a jiných předpisů).
Výsledek analýzy rizik slouží jako vstup pro stanovování cílů,
programů, řízení zdrojů, řízení provozu.
Stejně jako v případech námi uvedených příkladů (EMS, BOZP) je třeba
identifikovat zákonné požadavky např. formou registru právních a jiných
požadavků a návazně stanovovat cíle a programy managementu bezpečnosti.
NahoruZákonné požadavky
Příklady zákonných požadavků spojených s bezpečností organizace v
rámci dodavatelského řetězce,…
