Svijet kvalitete - Novo izdanje norme ISO 22301 – Zašto organizacije „bježe“ od upravljanja kontinuitetom poslovanja

Novo izdanje norme ISO 22301 – Zašto organizacije „bježe“ od upravljanja kontinuitetom poslovanja

Detalji: Kreirano Petak, 13 Rujan 2019 06:59; Hitovi: 2213

urs2nor1 Norma ISO 22301:2019 je u fazi završnog nacrta (FDIS), te se novo izdanje očekuje krajem 2019. godine. Paralelno s ovom normom u reviziji je i norma ISO 22313 – Smjernice za primjenu norme ISO 22301.

Novo izdanje norme ISO 22301:2019, donosi sljedeće glavne promjene:
- Dodatno ujednačenje s Annexom SL
- Manje opisa
- Veća fleksibilnost u primjeni
- Više pragmatičnosti

Važno je naglasiti i da je norma ISO 22301:2012 prva norma koja je usklađena sa Annexom SL, te da je naslijedila britansku normu BS 25999.

Norma ISO 22301, s dobro implementiranim smjernicama norme ISO 22313, predstavlja učinkovit alat za upravljanje kontinuitetom poslovanja, smanjenje posljedica neželjenih događaja i brži povratak u redoviti rad. Ipak, rezultati su prilično loši (gledano sa aspekta broja certifikacija). ISO Survey za 2017. pokazuje da je u svijetu certificirano 4278 organizacija a u Republici Hrvatskoj niti jedna. Iako je moguće da je u 2018. i 2019. godini certificirano nekoliko organizacija (URS ima nekoliko novih certifikata), taj broj je i dalje mali, pogotovo kada govorimo o akreditiranim certifikatima.

Što nas dovodi do pitanja, koji su razlozi slabog uspjeha ove norme u svijetu, a pogotovo u Hrvatskoj?
Istaknuo bih sljedeće bitne razloge:

-    Percepcija da je ISO 22301 usko vezana s normom ISO 27001
Od prve pojave normi vezanih na upravljanje kontinuitetom poslovanja (BCM) i konzultanti i auditori koji se bave informacijskom sigurnošću, ovu su normu uzeli nekako pod svoje.

Ova teza ima temelj u Annexu A norme ISO 27001, u kojem je kao jedna od kontrola naveden Plan kontinuiteta poslovanja.

Ovaj pristup rezultira time da se sustavi upravljanja kontinuitetom poslovanja često fokusiraju samo na rizike i poremećaje povezane s informacijskom sigurnošću, dok su rizici povezani s kontinuitetom poslovanja puno širi (političke nestabilnosti, terorizam, prestanak rada ključnih dobavljača, štrajkovi i sindikalne akcije su samo neki od njih).

S druge strane i autoindustrija kroz normu IATF 16949, ima zahtjev za Contigency plan (zahtjev jako sličan planu kontinuiteta poslovanja). Nadalje, veliki kupci sve češće od svojih dobavljača traže da imaju Plan kontinuiteta poslovanja.

Zaključno, možemo reći da je norma ISO 22301 primjenjiva na bilo koju vrstu i veličinu organizacije koja želi učinkovito upravljati rizicima i povećati svoju otpornost na neplanirane poremećaje i da je nije dobro usko vezati samo uz informacijsku sigurnost.

-    BCM dolazi nakon što su certificirani drugi sustavi upravljanja
Obično tvrtke koje idu u implementaciju i certifikaciju sustava upravljanja po normi ISO 22301 već imaju implementirane druge norme (ISO 9001, ISO 14001, ISO 27001), pa dolazi do „zamora“ materijala. Uz sve ove norme, što će nam još i ISO 22301?

No ovdje valja još jednom naglasiti da je Annexom SL i usklađivanjem normi s ovim Annexom, uvelike olakšana integracija s drugim normama.

U osnovi, kao i sve ostale norme za sustave upravljanja i ISO 22301 ima zahtjeve na kontekst, zainteresirane strane, politiku, osiguranje resursa, interni audit, ocjenu sustava, korektivne radnje.
Ključna razlika je u točki 8. i u sljedećim elementima koji se traže u ovoj točki norme:
-    Analiza utjecaja na poslovanje (BIA – Business Impact Analysis)
-    Strategija upravljanja kontinuitetom poslovanja
-    Plan kontinuiteta poslovanja

Usudio bih se reći da je temelj za dobar sustav, kvalitetno odrađena analiza utjecaja na poslovanje (BIA), jer iz nje proizlaze prikladne mjere i aktivnosti, kroz strategiju kontinuiteta poslovanja kao i plan kontinuiteta poslovanja.

Uz ova dva razloga, za manji broj certificiranih organizacija po normi ISO 22301, postoje i drugi problemi poput manjka kompetentnih konzultanata i odobrenih auditora, no lijek za ovo je podizanje vlastitih kompetencija, samo edukacija, istraživanje. Posebno bi naglasili ljudima koji se ozbiljnije žele baviti ovom normom, da dobro prouče normu ISO 22313 (smjernice), jer će u njoj naći brojne odgovore - kako u praksi uspostaviti dobar BCM sustav.

URS Adriatica kao jedna od rijetkih certifikacijskih kuća u Hrvatskoj i susjedstvu, ima odobrenog lokalnog auditora, svoje kompetencije smo uspješno potvrdili i na nedavnom Witness auditu od strane UKAS-ovog auditora.

U listopadu, URS organizira seminar za interne auditore po normama ISO 9001, ISO 27001 i ISO 22301, na njemu možete naučiti zahtjeve norme ISO 22301, popraćene brojnim primjerima iz prakse.
Više o seminaru možete pročitati i prijaviti se na linku na www.urs-adriatica.com.

United Registrar of Systems Adriatica d. o. o.
Igor Miličević, direktor

IZVOR:URS

Portal Svijet kvalitete koristi kolačiće (cookies) zbog pružanja bolje funkcionalnosti portala. Nastavkom pregleda portala slažete se s korištenjem kolačića. Postavke kolačića možete podesiti u svojem internetskom pregledniku. Više podataka o kolačićima i vašoj privatnosti možete saznati na Privatnost korisnika.
Prihvaćam kolačiće SLAŽEM SE