International standardisering ISO Risk og Resilience Management Lars Brogaard lbs@ds.dk Dansk Standard 1
Definition på en standard Dokument til fælles og gentagen anvendelse, der giver regler, vejledning eller karakteristiske træk. Dokumentet er fastlagt ved konsensus, skal have været genstand for offentlig høring og vedtaget af et anerkendt organ. NOTE Kravene i en standard skal bygge på en høj grad af evidens. 2
Organisationer 3
ISO 158 medlemslande 3.041 tekniske udvalg 55.000 eksperter deltager 620.768 sider standarder 4
ISO ledelsesstandarder Identificerer risici, sætter prioriteter og etablerer dynamiske programmer og planer, der omkostningseffektivt skaber forbedringer 5
ISO TC 223 Samfundsmæssig sikkerhed Tsunamien 26. dec. 2004 525 svenskere omkom 11. sep. 2001 Naturkatastrofer, uheld og terror har betydet, at regeringer, myndigheder og virksomheder har fået fokus på kriseledelse Katastrofeledelse kræver, at myndighederne samarbejder bedre med civile hjælpeorganisationer og den private sektor. 6
En ny tid Vi skal samarbejde over landegrænserne og opgive den klassiske nationale fokus på sikkerhed Separate, traditionelle sikkerhedselementer bliver integrerede Vi skal som myndighed, hjælpeorganisation og privat virksomhed kunne samarbejde bedre før, under og efter kriser Vores samfund skal fortsat fungere i kriser, hvor kritiske infrastrukturer er sat ud af funktion 7
Visionen National fokus separat på security and crisis issues ISO TC 223 (international experts) Secretariat: SIS, Sweden Chair: Ambassador Krister Kumlin, Senior advisor to the Swedish Emergency Management Agency International fokus integreret på security and crisis issues 8
1. Resultat - 2007 ISO/PAS 22399 - Societal security Guideline for incident preparedness and operational continuity management ISO/PAS 22399 er baseret på best of 5 og inkluderer dele af : - NFPA 1600:2004 - BS 25999-1:2006 - HB 221:2004 - INS 24001:2007 - compiled work of the Japanese Industrial Standards Committee. 9
2. Resultat - 2009 ISO 31000 - Risk management -- Principles and guidelines ISO 31010 - Risk management -- Risk assessment techniques Udarbejdet af en ad hoc gruppe i ISO Baseret på Australs/New ZealandsStandard AS/NZS 4360 for Risk Management 10
3. Resultat - 2009 ISO/DIS 22301 - Societal security Business continuity management systems - Requirements (publiseres snart) ISO/PAS 22399 er baseret på: - den britiske standard BS 25999 for Continuity Management - lign. standarder fra Japan, Singapore, Australien - ISO-modellen for ledelsesstandarder. Business continuity er udviklet fra contingency planning og disaster recovery, der blev udviklet af London City s virksomheder i konsekvens af IRA s terroraktioner, bl.a. de eksploderede bomber ved Bishopsgate og St Mary Axe, der udløste store skader på bygning. 11
4. Resultat - 2009 ISO NWIP - Societal security Organizational resilience management systems - Requirements with guidance for use Udgør et dansk forslag til ny ISO-standard baseret på tanken om, at gøre det omkostningseffektivt at håndtere risici Alle typer risici skal håndteres samlet og ikke individuelt risicihåndtering skal ikke ske efter silo-princippet tænk på dette i forhold til ISO 22301 for business continuity management DS 3001 = ASIS standarden er outline men vil kræve meget bearbejdning inden den kan publiceres som ISO version. 12
Flere ISO/TC 223 emner ISO/CD 22300 Societal security -- Vocabulary ISO/CD 22301 Societal security Preparedness and (Business) continuity management systems Requirements ISO/NP 22311 Societal security -- Videosurveillance Format for Interoperability ISO/DTR 22312 Societal Security -- Technological Capabilities ISO/DIS 22320 Societal security -- Emergency management -- Requirements for command and control ISO/CD 22398 Societal Security Guidelines for exercises and testing ISO 31000 Guideline New ISO Project Committee Guideline for the use of ISO 31000 Risk management 13
Mange ledelsesstandarder bygger på Risikostyring ISO 22000 Fødevaresikkerhed Fødevaresikkerhedsteamet skal foretage en risikofaktoranalyse for at bestemme, hvilke risikofaktorer der kræver styring, graden af styring, der er nødvendig for at sikre fødevaresikkerheden, og hvilken kombination af styrende foranstaltninger der kræves. ISO 28000 Sikkerhed i forsyningskæden The organization shall establish and maintain procedures for the ongoing identification and assessment of security threats and security management-related threats and risks, and the identification and implementation of necessary management control measures. Security threats and risk identification, assessment and control methods should, as a minimum, be appropriate to the nature and scale of the operations DS 26001 Samfundsmæssigt ansvar (CSR) Krav (er pt. offentliggjort) Organisationen skal via effektiv intern risikostyring og due diligence reducere sine strategiske risici i aktiviteter og projekter og aktuelle og mulige negative sociale, miljømæssige og økonomiske påvirkninger som følge af organisationens beslutninger og aktiviteter med henblik på at undgå eller reducere påvirkningerne. 14
Produkters sundhedsrelaterede karakteristika Interessenters adfærd vedr. kost, rygning, alkohol og motion Psykisk arbejdsmiljø Stress, krav Mobning, chikane Ledelse, involvering, motivation, engagement Fysik og kemisk arbejdsmiljø Smerter i bevægeapparatet Arbejdsvilkår Hændelser (ulykker)
S+F: Reducere risiko for smitteoverførsel via hænder, kontakt, madvarer A+K: Arbejdsforhold, sensoriske karakteristika, etiske karakteristika F+K: Råvarer, ingredienser, fremmedlegemer, etik S+M: Reducere forekomsten af miljøfremmede stoffer A+M: Substituere miljøfarlige stoffer med ufarlige stoffer Sundhed, DS 10001 Psykisk/etisk sikkerhed i virksomheden Arbejdsmiljø, DS/OHSAS 18001 Sundhedsfremme og forebyggelse Kvalitet, DS/EN ISO 9001 Sikre processer og metoder Miljørigtige produkter, eco-efficiency Fødevaresikkerhed, DS/EN ISO 22000 Grønne og sikre fødevarer Miljø, DS/EN ISO 14001
ISO 31000 Risk Management ISO Guide 73 Risk Vocabulary ISO 223900 Societal Security: Fundamentals and Vocabulary IEC/TC 56 Dependability Risk Assessment Organizational Resilience: Security, Preparedness and Continuity Management Systems- SPC Requirements with Guidance Standards for Requirements and Process Industry Specific Guidance Asset Specific Guidance Guidance Standards for Implementation SPC management systems -- General guidelines on principles, systems and support techniques Guidelines for SPC Management in the Hospitality and Resort Industry Facilities/Premises/Perimeter Asset Protection Guidelines for Implementation of ISO 9001 for the Security Sectors Guidelines for a staged implementation of a SPC management system SPC Guidance Transport and Shipping Industries Protection and Continuity of Vital Societal Functions Guidelines for Risk Assessment and Impact Analysis Guidance on internal and external communications SPC Guidance for Hospitals and Medical Services Information Asset Protection Security Management Systems Audits and Auditors Competencies Guidelines on Awareness, Training & Exercises Supply Chain Guidance Executive Protection Guidance on the selection and use of indicators to evaluate system performance 17
ISO 9000:2005 Quality management systems -- Fundamentals and vocabulary ISO 9001:2000 Quality management systems -- Requirements Guidance Standards for Requirements and Process Industry Specific Guidance Guidance Standards for Implementation ISO 9004:2000 Quality management systems -- Guidelines for performance improvements ISO 13485:2003 Medical devices -- Quality management systems -- Requirements for regulatory purposes ISO 19011:2002 Guidelines for quality and/or environmental management systems auditing ISO 10001:2007 Quality management -- Customer satisfaction -- Guidelines for codes of conduct for organizations ISO/TR 14969:2004 Medical devices -- Quality management systems -- Guidance on the application of ISO 13485: 2003 ISO Guide 34:2000 General requirements for the competence of reference material producers ISO 10005:2005 Quality management systems -- Guidelines for quality plans ISO/IEC 90003:2004 Software engineering -- Guidelines for the application of ISO 9001:2000 to computer software ISO/TR 10013:2001 Guidelines for quality management system documentation ISO 10019:2005 Guidelines for the selection of quality management system consultants and use of their services ISO 15161:2001 Guidelines on the application of ISO 9001:2000 for the food and drink industry IWA 1:2005 Quality management systems -- Guidelines for process improvements in health service organizations Note: Diagrammet indeholder kun eksempler i 9000 familien 18
Integreret ledelsessystem ISO 31000 Risikoledelse 9001 Kvalitetsledelse Fx Arbejds- miljøledelse Multiledelsessystemviden og -færdigheder Andre ledelsesdiscipliner 19
Fremtiden fra år 2014? A: Basis HR C: Sektorspecifikke - Ledelseselementer - Terminologi Secu rit y Co m m u n i- ca t io n s Risk s Qu a lit y Co m m o n Sa fet y F&C - Automobilindustrien - Medicinsk udstyr, etc Re la t io n s m a n a g em e n t syst e m I n fo rm a t io n e lem e n t s So cia l Re sp o n - sib ilit y B: Generiske: - Kvalitetsledelse Su p p lie rs OHS D: Vejledning - Emner - Miljøledelse - Metoder, værktøjer - Risikoledelse, etc. 20