Twój łańcuch dostaw jest tak silny, jak jego najsłabsze ogniwo – ISO 28000 to zmienia

Każda firma zarządzająca łańcuchem dostaw wie, że nie kontroluje wszystkiego. Kontroluje swój magazyn, swoje pojazdy, swoich pracowników. Ale co z dostawcą dostawcy? Z operatorem portowym obsługującym Twój ładunek? Z podwykonawcą transportowym wynajętym przez Twojego spedytora? Pandemia, blokada Kanału Sueskiego i kryzys półprzewodnikowy boleśnie pokazały, że w globalnym łańcuchu dostaw jedno słabe ogniwo może zatrzymać produkcję tysięcy firm na drugiej półkuli. ISO 28000 jest systemem, który identyfikuje te ogniwa zanim staną się kryzysem.

Zagrożenia, których nikt nie wpisuje do arkusza ryzyka – a powinien

Większość firm zarządzających łańcuchami dostaw prowadzi ocenę ryzyka. Problem polega na tym, że ta ocena zazwyczaj obejmuje wyłącznie własne procesy – ryzyko braku dostaw od konkretnego dostawcy, ryzyko przestoju własnej linii produkcyjnej, ryzyko opóźnienia transportu. To niewystarczające.

ISO 28000:2022 wymaga oceny ryzyka bezpieczeństwa obejmującej cały łańcuch dostaw – włącznie z zagrożeniami, które tradycyjnie nie trafiają do arkuszy kalkulacyjnych działów zakupów:

• Zagrożenia fizyczne – kradzieże ładunków w tranzycie, napady na magazyny i pojazdy, nieuprawniony dostęp do stref załadunku i rozładunku. Szacuje się, że straty z tytułu kradzieży w łańcuchach dostaw w Europie sięgają miliardów euro rocznie – i dotykają nie tylko firm transportowych, ale każdego uczestnika łańcucha
• Sabotaż i terroryzm – celowe zanieczyszczenie ładunku, podłożenie niebezpiecznych substancji, manipulowanie dokumentacją celną. Zagrożenia, które brzmią abstrakcyjnie – do czasu, gdy dotkną konkretnej firmy
• Zagrożenia cybernetyczne – ataki na systemy WMS, TMS i systemy śledzenia przesyłek, które mogą sparaliżować operacje logistyczne równie skutecznie jak fizyczna blokada magazynu
• Zagrożenia geopolityczne i naturalne – zamknięcie granic, konflikty zbrojne, katastrofy naturalne blokujące szlaki transportowe. Doświadczenia ostatnich pięciu lat pokazują, że to nie są scenariusze science-fiction, lecz realne ryzyka operacyjne

ISO 28000 wymaga, aby każde z tych zagrożeń było zidentyfikowane, ocenione i objęte udokumentowanym planem ograniczania ryzyka. Nie jako ćwiczenie papierowe – jako działający system.

Co konkretnie musi zrobić firma, która wdraża ISO 28000

Wdrożenie ISO 28000 nie jest budowaniem systemu od zera – to ustrukturyzowanie działań, które wiele firm już realizuje, ale w sposób nieuporządkowany i niespójny. Norma organizuje te działania w logiczny system oparty na cyklu PDCA.

Co z zaangażowaniem kierownictwa? ISO 28000 wymaga, aby najwyższe kierownictwo aktywnie uczestniczyło w systemie zarządzania bezpieczeństwem łańcucha dostaw – ustanawiało politykę bezpieczeństwa, zatwierdzało cele i zapewniało zasoby. Bezpieczeństwo łańcucha dostaw nie może być wyłącznie domeną działu logistyki czy działu bezpieczeństwa – musi być elementem strategii organizacji.

Jak wygląda ocena ryzyka według ISO 28000? Ocena ryzyka jest punktem wyjścia całego systemu. Obejmuje identyfikację zagrożeń dla każdego etapu łańcucha dostaw, ocenę prawdopodobieństwa ich wystąpienia i potencjalnych skutków, a następnie wybór i wdrożenie środków kontrolnych adekwatnych do poziomu ryzyka. Wyniki oceny ryzyka muszą być dokumentowane i regularnie aktualizowane – szczególnie po incydentach, zmianach w strukturze łańcucha dostaw lub pojawieniu się nowych zagrożeń.

Jak norma podchodzi do nadzoru nad partnerami? ISO 28000 wymaga, aby organizacja określiła wymagania bezpieczeństwa dla wszystkich partnerów w łańcuchu dostaw – dostawców, podwykonawców transportowych, operatorów magazynowych – i weryfikowała ich spełnienie. To kluczowy element, który odróżnia system ISO 28000 od zarządzania bezpieczeństwem wyłącznie we własnym zakresie.

ISO 28000 jako argument w przetargach i relacjach z dużymi partnerami

Certyfikat ISO 28000 przestał być niszowym standardem dla operatorów portowych i agencji celnych. Staje się coraz wyraźniejszym kryterium kwalifikacji dostawców i partnerów logistycznych w globalnych łańcuchach dostaw.

Duże korporacje produkcyjne i handlowe, które doświadczyły zakłóceń łańcuchów dostaw w ostatnich latach, systematycznie zaostrzają wymagania wobec swoich partnerów logistycznych. Certyfikat ISO 28000 jest dla nich obiektywnym, audytowanym dowodem, że partner zarządza bezpieczeństwem swojego ogniwa w łańcuchu dostaw w sposób usystematyzowany. To eliminuje konieczność przeprowadzania własnych audytów bezpieczeństwa u każdego dostawcy z osobna – co jest wymierną oszczędnością dla obu stron.

W zamówieniach publicznych – szczególnie dla kontraktów związanych z infrastrukturą krytyczną, obronnością i sektorem energetycznym – certyfikat ISO 28000 pojawia się coraz częściej jako wymaganie formalne lub kryterium oceny ofert. Firmy posiadające certyfikat są w znacznie silniejszej pozycji przetargowej niż te, które muszą udowadniać bezpieczeństwo swojego łańcucha dostaw od zera przy każdym postępowaniu.

Synergia z innymi systemami – dlaczego ISO 28000 warto wdrożyć obok ISO 9001 i ISO 27001

ISO 28000:2022 jest zbudowany zgodnie z High Level Structure – identyczną strukturą rozdziałów, którą stosują ISO 9001, ISO 14001, ISO 45001 i ISO 27001. Dla firm posiadających już inne certyfikaty ISO integracja z ISO 28000 jest znacznie prostsza i tańsza niż budowanie osobnego systemu.

Szczególnie silna synergia istnieje między ISO 28000 a ISO 27001. Bezpieczeństwo informacji i bezpieczeństwo łańcucha dostaw to dziś dwa aspekty tego samego wyzwania – cyberataki na systemy logistyczne są równie realne jak fizyczne kradzieże ładunków. Firma, która posiada oba certyfikaty, zarządza bezpieczeństwem kompleksowo – i może to udowodnić partnerom handlowym i organom regulacyjnym.

Analogicznie, ISO 28000 naturalnie uzupełnia ISO 22301 (ciągłość działania) – systemy te razem tworzą kompletną odpowiedź na pytanie: „Co robimy, gdy łańcuch dostaw jest zagrożony i jak zapewniamy, że firma działa mimo zakłóceń?” Dla firm, które chcą zbudować reputację organizacji odpornej i wiarygodnej – ta kombinacja certyfikatów jest jednym z najsilniejszych sygnałów, jakie można wysłać rynkowi.