Stiller krav til organisatorisk robustheds-ledelsessystemer (organizational resilence OR management systems)

Transkript

1 DS 3001 Organisatorisk robusthed. Sikkerhed, beredskab og kontinuitet.

2 Formål og anvendelsesområde Stiller krav til organisatorisk robustheds-ledelsessystemer (organizational resilence OR management systems) Tager hensyn til: Lovgivning og andre krav Information om væsentlige farer og trusler (for virksomheden og dens interessenter) Beskyttelse af kritiske aktiver (fysiske, immaterielle, miljømæssige og menneskelige). For risici eller deres indvirkning, der kan: kontrolleres influeres, og /eller reduceres.

3 Formål og anvendelsesområde Kan benyttes af enhver virksomhed, der ønsker at: Udvikle, implementere, vedligeholde og forbedre et OR ledelsessystem Sikre overholdelse af sin OR politik Demonstrere overensstemmelse med DS 3001 ved: Selvevaluering Anden parts verifikation Certificering (tredje parts verifikation). Kan integreres i andre ledelsessystemer eller OR systemer Ledelsessystemet tilpasses virksomhedens behov risikotolerance, politik, aktiviteter, produkter, service, beliggenhed og de betingelser, som der arbejdes under.

4 Scope (Formål og anvendelsesområde) Virksomheden vil blive bedre forberedt, forebygge og respondere på: tilsigtede hændelser (fx nedlukning af produktion) utilsigtede hændelser (fx røveri, terror eller strømafbrud) naturbetingede hændelser (fx oversvømmelse). Virksomheden vil være i stand til at: udvikle en politik for forebyggelse, beredskab, respons, kontinuitet opstille mål udarbejde procedurer og processer for opnåelse af politik og mål sikre kompetencer måle ydeevnen at opnå kontinuerlige forbedringer, og demonstrere overensstemmelse med kravene i standarden.

5 OR Flow

6 OR systemets omfang Virksomheden skal: Definere hvilke dele af virksomheden, der er omfattet Udarbejde kravene for OR systemet iht. mission, vision, strategi, mål samt interne og eksterne krav (love, interessenter og kunder) Overveje kritiske operationelle mål, aktiver, funktioner, service og produkter Fastlægge de kritiske risikosenarier Definere formål og anvendelsesområdet for systemet, så det passer til virksomheden.

7 Mission, vision, strategi, politik ISO 9004 Mission: Hvorfor en virksomhed eksisterer Vision: Virksomhedens ønskede tilstand Strategi: Plan/metode til at nå noget Politik: Samlede hensigter og udviklingsretning Politikker: Kvalitet (ISO 9001), Miljø (ISO 14001), Robusthed (DS 3001), Kompetence (DS 10015) etc.

8 OR systemets omfang Baseret på risikovurderinger og konsekvensbedømmelser skal der udarbejdes en erklæring, der definere den strategiske afvejning mellem: sikkerhedsledelse, beredskabsledelse, kriseledelse, ledelse af forretningsvidereførelse.

9 Dokumentationskrav Robusthedspolitik Robusthedsmål Robusthedshåndbog - procedurer etc. Registreringer

10 OR-politik Topledelsen skal definere, dokumentere og allokere ressourcer til OR politikken Politikken skal forpligte til beskyttelse af personer, miljø og fysiske aktiver Passe til virksomheden og de potentielle trusler, farer og risici

11 OR-politik Politikken skal bl.a: Give 1.prioritet til beskyttelse af menneskeliv Forpligte til kontinuerlige forbedringer Forpligte til forhøjet organisatorisk bæredygtighed og robusthed Forpligte til risikoforebyggelse, -reduktion og formindskelse af konsekvenser Forpligte til at overholde relevant lovgivning og andre krav, som virksomheden vil opfylde.

12 OR-politik Politikken skal: Være rammen for at fastsætte og granske OR mål Være dokumenteret, implementeret og vedligeholdt Omtale begrænsninger og udeladelser Fastlægge og dokumentere risiko tolerance Være kommunikeret til alle relevante personer, der arbejde i eller for virksomheden Være tilgængelig for relevante interessenter Revideres med mellemrum og ved opstået behov Være underskrevet af topledelsen.

13 Ledelsens forpligtelse Topledelsen skal bevise dets troskab over for OR-systemet ved at: Etablere OR-politikken, -mål og -planer Fastlæge roller, ansvar og kompetencer Udpege en OR-systemansvarlig Kommunikere betydningen af OR-politik, -mål og kontinuerlige forbedringer Afsætte tilstrækkelige ressourcer til OR-aktiviteter Bestemme kriterier for accept af risici Sikre gennemførelse af audits og ledelses evaluering Demonstrere kontinuerlige forbedringer

14 Risikovurderinger Virksomheden skal have en dokumenteret risiko-vurderingsproces for kritiske: aktiviteter funktioner service, produkter partnerskaber relationer til interessenter forsyningskæder potentielle konsekvenser baseret på risiko senarier.

15 Risikovurderinger Virksomheden skal: Identificere tilsigtede, utilsigtede og naturbetingede farer og trusler Systematisk analysere risici, sårbarhed, væsentlighed og potentielle konsekvenser Systematisk analysere og prioritere risikokontrol og håndtering Bestemme de risici, der har en signifikant konsekvens Dokumentere og opretholde denne information (evt. hemmeligholdt) Re-estimere risici Etablere restitutions målsætninger og prioriteter Estimere fordele og omkostninger ved mulige reduktioner af risici Højne bæredygtig forretning og robusthed Sikre, at de betydningsfulde risici og konsekvenser tages i betragtning

16 Målsætninger, mål og program Virksomheden skal udvikle og opretholde dokumenterede målsætninger og mål mhp. at udgå, forebygge, hindre, mildne, respondere på og restituere sig fra ødelæggende hændelser. Operationelt niveau Forebyg Reaktion Restitution 100% Hændelse Mildne konsekvenser af hændelsen Formindske periode for genskabelse Tid

17 Målsætninger, mål og program Målsætninger og mål skal være målbare (kvalitative eller kvantitative) Der skal udarbejdes et strategisk program for opnåelse af målsætninger og mål med: Ansvar og nødvendige ressourcer Overvejelser over aktiviteter, funktioner, lovkrav, kontraktkrav, interessent-behov, gensidige hjælpeaftaler og miljø Tidsplaner.

18 Ressourcer, roller og ansvar Krav til personer, udstyr, infrastruktur, teknologi, information, intelligens og finansielle ressourcer. Roller, ansvar og bemyndigelser skal fastlægges og kommunikeres. Topledelsen skal udpege en hovedansvarlig for systemet

19 Ressourcer, roller og ansvar Virksomheden skal: Etablere et OR team Have logistik og procedurer til af lokalisere, erhverve, anbringe, distribuere, vedligeholde, afprøve og gøre rede for service, personale, ressourcer, materiale og faciliteter, der er produceret eller afset til at understøtte OR-ledelsessystemet Have målsætninger for responstid, personale, udstyr, træning, faciliteter, forsikring, kontrol af erstatningsansvar, ekspertviden og materialer og tidsfrister for, hvornår ressourcerne skal være tilgængelige Have procedurer for interessentassistance, kommunikation, strategiske alliancer og gensidig hjælp Have finansielle og administrative procedurer, der kan fremskynde finansielle afgørelse.

20 Kompetencer, træning, bevidsthed Virksomheden skal: sikre at personer (der arbejder med opgaver som kan forebygge, forårsage, respondere på, mildne eller blive påvirket af væsentlige farer, trusler og risici) er kompetente. opretholder registreringer over kompetencer identificere behov for træning/uddannelse og tilvejebringe den Evne og vilje til at udføre en opgave ved at anvende viden og færdigheder

21 Kompetencer, træning, bevidsthed Virksomheden skal: have procedurer til sikring af, at personer, der arbejder for virksomheden er beviste om: Væsentlige farer, trusler, risici og konsekvenser Procedurerne for forebyggelse, hindring, mildning, beskyttelse, evakuering, reaktion, kontinuitet og restitution Vigtigheden af at efterleve OR-systemet Deres roller og ansvar i forhold til OR-systemet De potentielle konsekvenser ved ikke at følge fastlagte procedurer Fordelene ved forbedret personlig indsats gøre OR-kulturen til en del af virksomhedens værdigrundlag gøre interessenter bevidste om OR-politikken og deres rolle.

22 Kommunikation og alarmering Virksomheden skal have procedurer for: Kommunikation af ændringer i dokumentationen Kommunikation mellem forskellige niveauer og funktioner Ekstern kommunikation med partnere og interessenter Modtagelse og behandling af kommunikation fra eksterne Integration af et nationalt/regionalt risiko/trussels system Advarsel af interessenter som kan berøres Sikring af kommunikation i en krisesituation Kommunikation med nødhjælpsarbejdere Samarbejde mellem forskellige respondere Registrering af vital information om hændelsen Drift af kommunikationsfaciliteter. OR-kommunikations-systemer skal afprøves jævnligt.

23 Operationel kontrol Virksomheden skal identificere og planlægge de operationer som er forbundet med væsentlige risici. Virksomhedens procedurer for operationel kontrol skal adressere konsekvenserne ved en ødelæggende hændelse i forhold til: Pålidelighed Robusthed Sikkerhed og helbred Beskyttelse af ejendom/ejendele Beskyttelse af miljøet.

24 Forebyggelse, beredskab, respons Virksomheden skal have procedurer for: at identificere potentielle ødelæggende hændelser at forebygge hændelser og for beredskab og respons. Procedurerne bør fokusere på at: bevare liv og beskytte aktiver forhindre eskalering af hændelsen reducere længden af afbrudt drift genvinde kritisk operativ kontinuitet og normal drift beskytte image og omdømme.

25 Forebyggelse, beredskab, respons Der bør adresseres følgende: De på stedet værende farer ved en hændelse Lokale, tæt-på eller eksterne farer (for virksomheden) Den mest tænkelige type og omfang af en ødelæggende hændelse Den bedste metode til mildning og respons og hindring af eskalering Processer til hindring af miljøforurening Kommando- og kontrolprocesser kommandokæde/operativcenter Processer og autoritet til at erklære nødsituation, iværksætte nødprocedurer, bedømme skader og afgøre finansielle beslutninger

26 Forebyggelse, beredskab, respons Der bør adresseres følgende (fortsat): Intern og ekstern kommunikation Erhvervelse eller ydelse af førstehjælp/lægebehandling Aktioner for minimering af person-, fysiske og miljøskader Aktioner til sikring af vital information, faciliteter og personer Mildnings- og responsaktioner for forskellige nødsituationer Evaluering efter hændelser Periodisk test af nødberedskabs og respons procedurer Træning af nødberedskabspersonale En liste over nøglepersoner og nødhjælpsvirksomheder (ambulance, brandvæsen, politi, kommunalt beredskab, hospitaler, krisehjælp etc.) Evakueringsruter, samlingssteder, personlister og kontaktdetaljer Kritiske infrastrukturer (el, opbevaring, kommunikation, transport etc.) Mulig assistance fra nabovirksomheder Processer til gendannelse af kritiske aktiviteter.

27 Evaluering Virksomheden skal periodisk evaluere overensstemmelse med myndighedskrav, andre krav som gælder, inklusive best practices. OR-planer Nær-uheld Øvelser Afprøvninger Performance Etc.

28 Øvelser og afprøvning Virksomheden skal afprøve og evaluere hensigtsmæssigheden og virkningsfuldheden af systemet, dets programmer, processer og procedurer. Øvelser og afprøvning skal: Være i overensstemmelse med OR-systemets scope Være baseret på realistiske senarier Minimere risici for udløsning af ødelæggende hændelser Danne grundlag for en øvelsesevaluering, der indeholder resultat, anbefalinger og forslag til forbedringer Udføres med planlagte intervaller men også ikke-periodisk på ledelsens beslutning, og når væsentlige ændringer skaber behov

29 Afvigelser, registrering, intern audit I lighed med andre ledelsessystemer er der anbefalinger om eller krav til: Afhjælpende foranstaltninger Korrigerende handlinger Forebyggende handlinger Styring af registreringer Intern audit Ledelsens evaluering

30 Ledelsens evaluering Ledelsen bør med planlagte intervaller evaluere OR-ledelsessystemet. Indhold: Resultater af audits og granskninger Tilbagemeldinger fra interesserede parter Teknik, produkter og metoder, der kan forbedre OR Status på korrigerende og forebyggende handlinger Sårbarhed og trusler, der ikke er taget nok hensyn til Resultatet af effektivitetsmålinger Opfølgning fra tidligere evalueringer Ændringer der kan påvirke OR Tilstrækkelighed af politik og målsætninger Anbefalinger for forbedringer.

31 Løbende forbedringer Virksomheden skal løbende forbedre effektiviteten (resultat-relateret = effekten) af ledelsessystemet gennem brug af: politik målsætninger auditresultater analyser af udførte begivenheder korrigerende og forebyggende handlinger, samt ledelsens evaluering.

32 Opmærksomhedspunkter Procedurer erstatter beredskabsplaner Topledelsen får et ansvar og skal inddrages Der skal udarbejdes en politik Dokumenter og registreringer skal styres Der skal udføres audit