Każda organizacja, która wdrożyła system zarządzania bezpieczeństwem łańcucha dostaw jest zobowiązana do okresowego ustalania celów, zadań i programów.

Norma ISO 28000 określa wymagania, jakie powinny spełniać cele, zadania i programy, aby zapewnić ich skuteczność.

Jakie powinny być cele bezpieczeństwa łańcucha dostaw?

Cele bezpieczeństwa powinny być na odpowiednim poziomie szczegółowości, aby umożliwić ich wdrożenie i ocenę skuteczności. Dodatkowo norma ISO 28000 zaleca, aby cele były  specyficzne, mierzalne, osiągalne, zatwierdzone oraz terminowe (jeśli to możliwe), zakomunikowane pracownikom organizacji oraz stronom zainteresowanym. Do stron zainteresowanych zalicza się także wykonawców. Muszą oni być poinformowani o ich indywidualnych zobowiązaniach, aby nie zaburzali funkcjonowania systemu zarządzania bezpieczeństwem, który obowiązuje w organizacji.  Określone cele należy okresowo przeglądać, aby utrzymać ich ważność i spójność z celami ogólnymi systemu bezpieczeństwa wynikającymi z polityki systemu zarządzania ISO 28000. Cele powinny precyzować, co konkretnie organizacja chce osiągnąć, żeby zrealizować założenia polityki systemu bezpieczeństwa łańcucha dostaw.

Zgodnie z normą ISO 28000, podczas ustanawiania i przeglądu celów, organizacja powinna wziąć pod uwagę:

  • prawne, statutowe/regulaminowe oraz inne wymagania bezpieczeństwa;
  • zagrożenia i ryzyka związane z bezpieczeństwem;
  • możliwości technologiczne i inne;
  • wymagania finansowe, operacyjne i biznesowe;
  • opinię stron zainteresowanych.

 

Norma ISO 28000 wymaga także, aby wyznaczyć osobę lub osoby odpowiedzialne za osiągnięcie określonych celów. Dzięki temu zapewniony jest nadzór nad ich realizacją. Zwykle osobą odpowiedzialną za realizację celów jest przedstawiciel kierownictwa organizacji lub właściciel procesu, którego cel dotyczy.  Obowiązkiem osób wyznaczonych jest określenie zadań i programów oraz okresowe monitorowanie postępów w realizacji celów i szybkie reagowanie, jeśli nie idzie ona zgodnie z planem.

Przykłady celów w ISO 28000

Norma ISO 28000 wskazuje, że cele szczegółowe powinny być mierzalne. Tylko w ten sposób jest możliwe późniejsze ustalenie czy został on wykonany zgodnie z założeniami czy też nie. Przykładem celu mierzalnego będzie: „Zapewnienie terminowości dostaw do klientów”. W tym wypadku miernikiem będzie ilość terminowych dostaw, którą da się zmierzyć i porównać przed i po wdrożeniu zadań i programów.

Natomiast celem niemierzalnym (lub trudno-mierzalnym) będzie: „Podniesienie poziomu bezpieczeństwa IT”. Przy tak sformułowanym celu trudno określić za pomocą jakiego parametru poziom bezpieczeństwa ma zostać sprawdzony. Natomiast możliwe jest określenie zadań i programów dla tego celu.

Cele SMART

Dobrą praktyką jest, aby cele bezpieczeństwa określać  zgodnie z zasadą SMART. Oznacza to, że każdy z celów powinien być: specyficzny/skonkretyzowany, mierzalny, akceptowalny, realny i terminowy. Zasada ta pokrywa się częściowo z wymaganiami normy ISO 28000, dlatego skorzystanie z niej jest tym bardziej uzasadnione.

Czym są zadania w ISO 28000?

Po określeniu celów, osoby odpowiedzialne za jego realizację są zobligowane do określania zadań dla każdego z nich. Zadania powinny wynikać z celów zarządzania bezpieczeństwem i być z nimi spójne. Zadania się definiuje jako:

„szczegółowe wymagania, dotyczące efektów działalności, mające zastosowanie do organizacji albo jej części, wynikające z celów bezpieczeństwa łańcucha dostaw, które należy określić i zrealizować”

Programy realizacji celów

Zgodnie z normą ISO 28000 organizacja powinna ustanowić, wdrożyć i utrzymywać programy zarządzania bezpieczeństwem, w celu osiągania celów i zadań.

Programy powinny być optymalizowane oraz priorytetyzowane, oraz organizacja powinna zapewnić wydajną i opłacalną realizację tych programów.

Obejmuje to dokumentację, która zawiera:

  • Przydzielone odpowiedzialności i uprawnienia do osiągania celów i zadań zarządzania bezpieczeństwem;
  • Środki i czas potrzebne do osiągnięcia celów i zadań.

 

Programy zarządzania bezpieczeństwem powinny być okresowo przeglądane w celu zapewnienia ich efektywności oraz spójności z celami i zadaniami. Programy powinny być aktualizowane, jeśli będzie taka potrzeba.

W jaki sposób rozróżnić zadania od programów?

Bardzo częstym spostrzeżeniem podczas audytów systemu zarządzania bezpieczeństwem łańcucha dostaw jest niepoprawne lub niejednoznaczne formułowanie celów oraz zadań i programów. Najlepiej te różnice i zależności omówić na przykładzie:

Przykładowym celem może być :

„Minimalizacja napadów podczas transportu towarów do klienta”

Zadaniami w ramach tego celu mogą być np. przeprowadzenie szkoleń wewnętrznych, mających na celu uświadomienie pracowników w zakresie ich działań mających wpływ bezpieczeństwo dostaw, w tym na minimalizację ww. napadów,

Programami natomiast będą przydzielenie odpowiedzialności, zasobów i terminów ich realizacji, np. w przypadku ww. zadania szkoleniowego punktami programowymi mogą być: określenie programu szkolenia, wybór osoby prowadzącej szkolenie, określenie grup i terminów szkoleń, realizacja poszczególnych szkoleń, ocena skuteczności tych szkoleń.

Forma dokumentowania celów, zadań i programów nie jest ustalona przez normę ISO 28000, a więc organizacja może wybrać najwygodniejsze dla siebie rozwiązanie. Należy tylko zwrócić uwagę, aby ustalone cele bezpieczeństwa faktycznie pokrywały się z planami rozwoju organizacji i były możliwe do rozliczenia podczas audytu.

 

Masz pytania do artykułu?

Zapraszamy do kontaktu!

 

Inne artykuły z serii WYMAGANIA ISO 28000:

Artykuł ten jest własnością intelektualną CONSILUM. Może być rozpowszechniany bezpłatnie wszystkim osobom i podmiotom zainteresowanym problematyką systemów zarządzania ISO, jednakże wyłączając cel komercyjny i bez dokonywania jakichkolwiek zmian w tekście. Wszelkie inne rozpowszechnianie wymaga pisemnej zgody autora. Dozwolone jest cytowanie fragmentów materiału z podaniem źródła.