Certifikace bezpečnosti dodavatelských řetězců dle ISO 28000 přináší kvalitu i prestiž
Krize zvyšuje význam potenciálních konkurenčních výhod, zejména korektních, objektivních a garantovaných. Firma se jimi může prezentovat, každopádně však mohou pozitivně ovlivnit její hospodářský výsledek, někdy i přežití.
Dvojí užitek
V roce 2007 vyšly normy ISO řady 28000 o systémech managementu bezpečnosti dodavatelských řetězců (Security Management System for Supply Chin, ScyMS). Pro klienty je podstatné, že zvyšují bezpečnost a kontinuitu distribuce zboží a služeb. Mají význam i pro samotné firmy, neboť zvyšují personalistické (preemployment screening) a bezpečnostní standardy. Ty ovlivňují četnost a výši škodních událostí, latenci vnitropodnikové kriminality a úroveň ochrany dat. Vysoká bezpečnostní kultura obecně znamená i méně problémů v obchodě s komoditami ve zvláštním režimu (zbraně).
Norma je také používána jako měřítko při vyhodnocování veřejných soutěží a může přispět v boji s pašeráctvím, padělky, podvody, počítačovou kriminalitou a při ochraně duševního vlastnictví. Bude prospěšná i v oblasti boje proti terorismu a obchodu s lidmi, respektive nelegální migraci. Jsou známé případy českých řidičů kamionů, trestně stíhaných za nelegální přepravu osob. Zavedení uvedených standardů by tento jev sice úplně neznemožnilo, ale zásadně ztížilo – jak šoférům, kteří to činili vědomě, tak osobám, jež vozy využily bez jejich vědomí.
Podstata normy
Zabezpečení integrity přepravovaného zboží upravovaly dva standardy. Americký Custom Trade Partnership Against Terrorism – C-TPAT (EURO 32–33/2007) – a evropský Authorised Economic Operator – AEO. Od roku 2007 jsou oba kompatibilní. Týkají se dopravní fáze přepravovaného zboží a určují způsoby jeho zabezpečení.
Norma ISO 28000 upravuje širší oblast – od zdrojů až po klienty. Metodicky stanovuje oblasti, v nichž je nutné tyto řetězce zabezpečit, ale na rozdíl od C-TPAT a AEO neurčuje, dle kterých konkrétních standardů to má být učiněno.
ISO 28000 je komplementární k procesně založeným systémům řízení (ISO 9001 – kvalita) a „risk-based“ systémům (ISO 14001 – environmentální dopady), jejichž prvky mohou být efektivně využité pro ScyMS.
Jejím klíčovým prvkem je bezpečnostní politika, která zajišťuje systematický přístup k řízení bezpečnosti v organizaci. Vychází z analýzy rizik a kritických míst systému. Navržená opatření jsou technického, organizačního a administrativního charakteru. Týkají se i zvyšování kvalifikace personálu v oblasti krizového řízení. Musí ctít příslušnou legislativu, zásady nezávislosti kontrolních orgánů a systému auditů (vnitřní, vnější a certifikační). Porovnání výsledků auditů se záměry bezpečnostní politiky přináší nové podněty k její modifikaci. Periodicita cyklické revize bezpečnostní politiky se předpokládá, není však pevně stanovená.
Certifikace
Dle Lukáše Moravce ze společnosti Starr’s, zatím jediného držitele oprávnění provádět certifikace systémů managementu bezpečnosti podle ISO 28000 v ČR a na Slovensku, se tento proces zakládá na auditu, sloužícím k vyhodnocení úrovně bezpečnosti ve firmě. Výsledek se porovná s požadavky normy a poté je navržen způsob, jak je efektivně splnit (compliance). Maximum současných opatření se převezme, případně vylepší a doplní dalšími komponenty. Certifikovaný systém managementu bezpečnosti pak demonstruje i kompetenci organizace k zařazení do atraktivního systému ochrany kritické infrastruktury, jíž se týká sedmý rámcový program EU, který dle očekávání bude s touto normou pracovat.
