Mniej tekstu, więcej elastyczności; mniej regulacji, więcej pragmatyzmu - tak brzmi nowa wersja normy ISO 22301 dla systemów zarządzania ciągłością działania (BCMS). Mimo, że nie przynosi ona przełomowych zmian, zrewidowana wersja jest nadal znaczącym krokiem naprzód. Poniżej dowiesz się, jakich zmian możesz się spodziewać w nowej wersji.
Od czasu pierwszej publikacji w 2012 roku, norma ISO 22301 norma stała się międzynarodowym punktem odniesienia dla systemów zarządzania ciągłością działania. Zgodnie z corocznym badaniem ISO, ponad 4000 organizacji posiada już certyfikat ISO 22301. Sukces ten nie jest ograniczony do konkretnych branż - w DQS certyfikowaliśmy między innymi banki, zakłady chemiczne, dostawców usług IT oraz dostawców dla przemysłu motoryzacyjnego.
Aby zapewnić kontynuację tej ewolucji, Międzynarodowa Organizacja Normalizacyjna postanowiła zrewidować normę, aby uhonorować ustalenia z pierwszych lat jej stosowania. Rewizja została opublikowana w listopadzie 2019 roku.
Dobre wiadomości: Niewiele zmian
Po pierwsze: firmy, które już posiadają certyfikat ISO 22301:2012 nie powinny mieć problemów z konwersją do nowej wersji. Jeśli postawisz obie wersje obok siebie, od razu zauważysz, że nie nastąpiły żadne zmiany strukturalne.
W porównaniu z rewizjami ISO 9001 i ISO 14001, które zostały zakończone w 2015 roku, ta rewizja jest raczej skromna. Główną zmianą w rewizjach innych norm było przyjęcie tzw. High-Level Structure, czyli jednolitej struktury dla wszystkich norm dotyczących systemów zarządzania. Jednak norma ISO 22301 zawsze miała taką strukturę: w 2012 r. była jedną z pierwszych norm, które przyjęły High-Level Structure.
Ponieważ zmiany strukturalne nie były zatem konieczne, jednostka normalizacyjna mogła skupić się na poprawie jasności i czytelności normy. Wiele zbędnych fragmentów tekstu zostało usuniętych, terminy są stosowane bardziej konsekwentnie, a wewnętrzna logika tekstu została wzmocniona.
A nawet lepiej: Powrót do podstaw
To, co sprawia, że nowa wersja jest szczególnie interesująca, to fakt, że niektóre wymagania zostały znacznie uproszczone. Dobrym tego przykładem jest sekcja 4.1: podczas gdy wersja z 2012 roku była jeszcze nakazowa w zakresie tego, co należy ustalić i udokumentować, aby zrozumieć kontekst organizacji, nowa wersja podkreśla po prostu potrzebę uwzględnienia czynników wewnętrznych i zewnętrznych. Nie jest już określone, jak to osiągnąć. Nie ma też już potrzeby dokumentowania tego procesu. Podobnie jest w punkcie 7.4 - Komunikacja: usunięto duże fragmenty.
Kolejną klauzulą, która została odchudzona jest 5.2 - Zobowiązanie kierownictwa. Tak jak poprzednio, ISO 22301 wymaga wyraźnego zaangażowania ze strony najwyższego kierownictwa. Jednak tam, gdzie wersja z 2012 roku nadal wymagała od najwyższego kierownictwa "aktywnego uczestnictwa w praktykowaniu i przeglądach", nowa wersja ogranicza się do podstawowych elementów: Wytycznych, Celów, Zasobów, Przeglądu skuteczności i Ciągłego doskonalenia.
Pozostałe zmiany
Poza kilkoma drobnymi poprawkami, których znaczenie dla certyfikowanych obiektów jest w praktyce niewielkie, należy zwrócić uwagę na następujące zmiany:
- W znowelizowanej wersji nie ma prawie żadnych nowych wymagań. Jednym wyjątkiem jest punkt 6.3, w którym wymaga się od organizacji wprowadzania zmian do BCMS "w sposób zaplanowany." Wymóg ten nie był wyraźnie sformułowany w poprzedniej wersji, ale sam w sobie nie jest zaskakujący.
- Sekcja 8.2.2 - Analiza wpływu na biznes (BIA) wymaga, aby w analizie za punkt wyjścia przyjąć" kategorie wpływu".
- Sekcja 8.3, poprzednio zatytułowana "Strategia ciągłości działania", nosi obecnie tytuł "Strategie i rozwiązania w zakresie ciągłości działania". Zmiana nazwy odzwierciedla zwiększony pragmatyzm normy: ważniejsze od wielkiej strategii są konkretne rozwiązania dla konkretnych ryzyk i wpływów.
- W nowej normie nie pojawia się już termin " apetyt na ryzyko". W wersji z 2012 roku termin ten był zdefiniowany jako "wielkość i rodzaj ryzyka, które organizacja jest skłonna podjąć lub utrzymać". Norma przesuwa punkt ciężkości z apetytu na ryzyko na wpływ: Jaki wpływ jest akceptowalny?
Rewizja przewodnika ISO 22313
Fakt, że nowa norma wydaje się być bardziej uproszczona wynika również z tego, że wymagania zostały wyraźnie oddzielone od wytycznych. Wymagania są opisane w ISO 22301, natomiast sposób ich spełnienia jest wyjaśniony w ISO 22313. Wytyczne ISO 22313, które pochodzą z 2012 roku, podobnie jak norma, są obecnie również poddawane rewizji.
Harmonogram i przejście na nową normę
Od 31 października 2019 r. obowiązuje 3-letni okres przejściowy, a certyfikaty wydane zgodnie z normą ISO 22301:2012 będą ważne najpóźniej do 31 października 2022 r. lub muszą zostać wycofane przed tą datą.
Newsletter DQS
Bądź na bieżąco i zapisz się do naszego newslettera!
Autor
Dr Thijs Willaert
Dr Thijs Willaert jest globalnym dyrektorem ds. usług zrównoważonego rozwoju. W tej roli jest odpowiedzialny za całe portfolio usług ESG firmy DQS. Jego obszary zainteresowań obejmują zrównoważone zamówienia, należytą staranność w zakresie praw człowieka i audyty ESG.
Loading...