Меньше текста, больше гибкости; меньше правил, больше прагматизма - такова новая версия стандарта ISO 22301 для систем менеджмента непрерывности бизнеса (BCMS). Хотя она не несет в себе сокрушительных изменений, пересмотренная версия все же является значительным шагом вперед. Узнайте ниже, какие изменения можно ожидать в новой версии.
С момента первоначальной публикации в 2012 году ISO 22301 стандарт стал международным эталоном для систем менеджмента непрерывности бизнеса. Согласно ежегодному опросу ISO, более 4 000 организаций уже сертифицированы по стандарту ISO 22301. Этот успех не ограничивается конкретными отраслями - мы в DQS сертифицировали банки, химические предприятия, поставщиков ИТ-услуг и поставщиков автомобильной промышленности и др.
Чтобы обеспечить продолжение этой эволюции, Международная организация по стандартизации решила пересмотреть стандарт с учетом выводов, сделанных в первые годы его использования. Пересмотр был опубликован в ноябре 2019 года.
Хорошие новости: Мало изменений
Прежде всего: у компаний, которые уже сертифицированы по ISO 22301:2012, не должно возникнуть проблем с переходом на новую версию. Если вы положите обе версии рядом, то сразу заметите, что структурных изменений не произошло.
По сравнению с пересмотром ISO 9001 и ISO 14001, который был завершен в 2015 году, этот пересмотр довольно скромный. Основным изменением в пересмотрах других стандартов стало принятие так называемой высокоуровневой структуры, единой для всех стандартов на системы менеджмента. Однако ISO 22301 всегда имел такую структуру: в 2012 году он был одним из первых стандартов, принявших High-Level Structure.
Поскольку в структурных изменениях не было необходимости, орган по стандартизации смог сосредоточиться на улучшении ясности и читабельности стандарта. Многие избыточные фрагменты текста были удалены, термины используются более последовательно, а внутренняя логика текста была усилена.
И даже лучше: Возвращение к главному
Что делает новую версию особенно интересной, так это то, что некоторые требования были значительно упрощены. Хорошим примером этого является раздел 4.1: если в версии 2012 года еще были предписания о том, что необходимо определить и задокументировать для понимания контекста организации, то в новой версии просто подчеркивается необходимость учитывать внутренние и внешние факторы. Как этого достичь, больше не уточняется. Необходимость документировать этот процесс также отсутствует. Нечто подобное мы отмечаем и в разделе 7.4 - Коммуникация: большие разделы были удалены.
Еще одним пунктом, который был сокращен, является 5.2 - Обязательства руководства. Как и раньше, ISO 22301 требует четкого обязательства со стороны высшего руководства. Однако если в версии 2012 года от высшего руководства по-прежнему требовалось "активное участие в практической деятельности и анализе", то в новой версии оно ограничивается самым необходимым: Руководство, Цели, Ресурсы, Анализ эффективности и Постоянное улучшение.
Другие изменения
Помимо ряда мелких корректировок, значение которых для сертифицированных объектов на практике незначительно, следует отметить следующие изменения:
- В пересмотренной версии практически нет новых требований. Исключением является раздел 6.3, где от организаций требуется вносить изменения в СУБП "в плановом порядке". Это требование не было четко сформулировано в предыдущей версии, но само по себе оно неудивительно.
- Раздел 8.2.2 - Анализ воздействия на бизнес (BIA) требует, чтобы при анализе в качестве отправной точки использовались" категориивоздействия ".
- Раздел 8.3, ранее озаглавленный "Стратегия непрерывности бизнеса", теперь называется "Стратегии и решения по обеспечению непрерывности бизнеса". Переименование отражает возросший прагматизм стандарта: важнее грандиозной стратегии - конкретные решения для конкретных рисков и воздействий.
- Термин " аппетит к риску" больше не встречается в новом стандарте. В версии 2012 года этот термин определялся как "размер и тип риска, который организация готова принять или поддерживать". Стандарт переносит акцент с аппетита к риску на воздействие: Какое воздействие является приемлемым?
Пересмотр руководства ISO 22313
Тот факт, что новый стандарт выглядит более компактным, также объясняется тем, что требования были четко отделены от руководства. Что такое требования, описано в ISO 22301; как их выполнять, объясняется в ISO 22313. Руководящий документ ISO 22313, который, как и стандарт, датируется 2012 годом, сейчас также пересматривается.
График и переход
С 31 октября 2019 года начинается 3-летний переходный период, а сертификаты, выданные в соответствии с ISO 22301:2012, будут действительны не позднее 31 октября 2022 года или должны быть отозваны до этой даты.
Рассылка DQS
Доктор Тийс Willaert
Д-р Тийс Виллаерт является руководителем отдела маркетинга и коммуникаций в сегментах устойчивого развития и безопасности пищевых продуктов. Он также является аудитором по внешнему аудиту отчетов по устойчивому развитию. В сферу его интересов входят управление устойчивым развитием, устойчивые закупки и цифровизация аудиторского ландшафта.