Centrum Certyfikacji Jakości

XVIII KONFERENCJA CENTRUM CERTYFIKACJI JAKOŚCI / 17-20 września 2024 / Zamek Ryn

Search
Close this search box.

ISO/IEC 22301 (BCMS)

Dokumentacja do pobrania

System zarządzania ciągłością działania ISO/IEC 22301

Zdolność organizacji do funkcjonowania bez przerw spowodowanych przez zakłócenia (np. awarie i katastrofy) stanowi w dzisiejszych czasach dużą wartość dla każdej organizacji. Umiejętność radzenia sobie z sytuacjami kryzysowymi ma znaczenie, zarówno dla klientów, dostawców, jak również pracowników, ich rodzin oraz wszystkich stron zainteresowanych. Klienci wymagają, aby dostawy produktów i usług były realizowane na czas, bez nieoczekiwanych przerw oraz opóźnień. Dostawcy są zainteresowani, aby zakłócenia ciągłości działania nie stanowiły przeszkody w odbiorze przez organizację dostarczanych przez nich wyrobów i usług. Pracownicy i ich rodziny są zainteresowani, aby organizacja funkcjonowała w taki sposób, by na ile to tylko możliwe, zapewnić pewność i ciągłość zatrudnienia. Incydenty prowadzące do przerwania działalności mogą powodować nie tylko straty finansowe, wizerunkowe lub związane z utratą klientów, ale również prowadzić bankructwa firm.

Aby poradzić sobie ze skutkami nieoczekiwanych incydentów organizacja potrzebuje narzędzi pozwalających jej, w porę przewidywać sytuacje i okoliczności, które mogą doprowadzić do nieakceptowalnych strat. Jedynie systemowe podejście do zarządzania ciągłością działania może uchronić organizację przed negatywnymi skutkami lub przynajmniej ograniczyć konsekwencje niekorzystnych zdarzeń. Wdrożenie wymagań normy ISO 22301 pozwala organizacji na stosowanie w jej codziennej działalności mechanizmów redukujących skutki sytuacji kryzysowych.

Certyfikacja systemu zarządzania ciągłością działania pozwala potwierdzić zgodność wdrożonego systemu zarządzania ciągłością działania z wymaganiami normy ISO 22301 oraz potwierdzić, że jej system zarządzania ciągłością działania osiąga odpowiednią dojrzałość.

Podejście do zarządzania ciągłością działania określone w normie ISO 22301 opiera się na:

  • przewidywaniu zakłóceń ciągłości działania poprzez identyfikację kontekstu, analizę wpływu biznesowego oraz analizę ryzyka,
  • zapobieganiu wystąpieniu niekorzystnych zdarzeń,
  • posiadaniu przez organizację zdolności do reagowania na te zdarzenia, tak aby mogła się ona uporać z ich skutkami w określonym czasie,
  • umiejętności odtwarzania procesów i infrastruktury po katastrofie,
  • umiejętności powrotu do normalnej działalności w jasno zdefiniowanych i określonych ramach czasowych,
  • zapewnieniu, że scenariusze reagowania na incydenty są określone w planach ciągłości działania i regularnie testowane oraz przeglądane,
  • ustanowieniu strategii ciągłości działania,
  • zapewnieniu odpowiednich zasobów w celu reagowania na incydenty ciągłości działania,
  • zapewnienie skutecznej komunikacji wewnętrznej i zewnętrznej,
  • odpowiednim nadzorze nad systemem zarządzania ciągłością działania poprzez jego monitorowanie, audyty wewnętrzne, przeglądy zarządzania, ćwiczenia i testy oraz działania korygujące i doskonalące.


Dla kogo przeznaczony jest system zarządzania ciągłością działania (BCMS)?

System zarządzania ciągłością działania adresowany jest do wszystkich organizacji niezależnie od branży, wielkości, rodzaju działalności czy statusu prawnego. Każda organizacja, która chce zapewnić odpowiedni poziom ciągłości dostaw wyrobów i usług powinna wdrożyć oraz poddać ocenie funkcjonujący system zarządzania celem uzyskania certyfikatu na zgodność z wymaganiami normy ISO 22301.

Wdrożenie i certyfikacja BCMS na bazie sprawdzonego modelu jakim jest norma ISO 22301 nie tylko zapewnia ciągłości działania ale znacząco wpływa na:

  • pozyskanie kontraktów, tam gdzie ciągłość działania jest priorytetem,
  • zwiększenie wiarygodności i zaufania klientów, że organizacja jest w odpowiednim stopniu przygotowana na incydenty i sytuacje krytyczne oraz, że niekorzystne konsekwencje takich zdarzeń zostaną w porę zauważone i zredukowanie do minimum,
  • zapewnienie ciągłości dostaw,
  • zredukowanie czasu potrzebnego do uporania się ze skutkami sytuacji kryzysowej,
  • zwiększenie zaufania stron zainteresowanych co do tego, że organizacja potrafi wdrożyć właściwe procedury postępowania na wypadek wystąpienia incydentu, sprawnie odtworzyć swoje zasoby i szybko powrócić do normalnej działalności,
  • możliwość obniżenia składek ubezpieczeniowych,
  • możliwość zredukowania lub zapobieżenia konieczności zapłaty kar umownych,
  • możliwość spełnienia wymagań prawnych i kontraktowych.


Korzyści wynikające z certyfikacji BCMS

Certyfikacja systemu zarządzania ciągłością działania pozwala organizacji:

  • uzyskać zaufanie klientów i stron zainteresowanych, że system zarządzania ciągłością działania jest zgodny z wymagania ISO 22301;
  • uzyskać potwierdzenie, że strategia ciągłości działania jest prawidłowa;
  • system zarzadzania ciągłością działania jest skuteczny i osiąga zamierzone cele;
  • potwierdzić, że system zarządzania ciągłością jest właściwie wdrożony, utrzymywany i doskonalony;
  • uzyskać wsparcie kompetentnych auditorów w kwestiach związanych z rozwojem systemu;
  • uzyskać certyfikat potwierdzający zgodność z wymaganiami ISO 22301.

Certyfikacja BCMS w Centrum Certyfikacji Jakości (CCJ)

Centrum Certyfikacji Jakości, od 2015 roku certyfikuje systemy zarządzania ciągłością działania co potwierdza systematycznie wzrastająca liczba wydanych certyfikatów przez CCJ.

Certyfikacji mogą poddać się wszystkie organizacje zainteresowane potwierdzeniem przez niezależną stronę trzecią – CCJ, że system zarządzania ciągłością działania (BCMS) został właściwie zaprojektowany, jest wdrożony i ciągle doskonalony.

Uzyskanie certyfikatu stanowi potwierdzenie, że system BCMS został sprawdzony i jest zgodny ze standardem stanowiącym zbiór najlepszych praktyk w tym zakresie.

W celu uruchomienia procesu certyfikacji na zgodność z normą ISO 22301 należy dostarczyć do CCJ następujące dokumenty:

  • wniosek o certyfikację,
  • podpisaną umowę,
  • dokumentację BCMS (politykę ciągłości działania i niezbędne procesy i procedury) lub zintegrowanego systemu zarządzania.


Klienci zainteresowani certyfikacją systemów zarządzania w CCJ mają możliwość otrzymania oferty cenowej po uprzednim wypełnieniu zapytania ofertowego, pobranego „dokumentacja do pobrania” u góry strony.

Po złożeniu wniosku o certyfikację z kompletem dokumentacji przygotowywana jest lub potwierdzana oferta opracowana na podstawie kompletnej informacji o funkcjonującym systemie zarządzania ciągłością działania.

Podstawowe informacje o formalnych wymaganiach i etapach realizacji procesu certyfikacji dostępne są na stronie internetowej, w zakładce informacje ogólne, w dokumencie „Zasady certyfikacji – Informator dla klienta” oraz na życzenie Klienta w formie papierowej.

Zasady ustalania czasu trwania auditu oraz opłat w procesie certyfikacji, nadzoru i ponownej certyfikacji systemu zarządzania ciągłością działania wg ISO 22301 obowiązujące w CCJ

Podstawowe zasady ustalania opłat za certyfikację

Cena netto usługi certyfikacyjnej realizowanej przez CCJ wyliczana jest wg poniższego wzoru:

A = B + (C x D) + E

gdzie:

A – cena netto,
B – opłata stała, określona w aktualnym cenniku CCJ,
C – czas trwania auditu,
D – stawka stała za jeden dzień auditu, określona w aktualnym cenniku CCJ,
E – koszty zakwaterowania, podróży i wyżywienia auditorów.

Podstawą wykorzystywaną do określania wysokości opłat (stałej oraz za audit) jest liczba personelu (liczba osób pracujących pod kontrola organizacji).

Opłata stała pobierana jest przed auditem certyfikacyjnym oraz co roku w trakcie ważności certyfikacji, tj.: dwa miesiące przed planowanym auditem w nadzorze oraz sześć miesięcy przed planowanym auditem ponownej certyfikacji.

Zasady ustalania czasu auditu

Do określenia czasu auditu przyjmuje się czas poświęcony na:

  • planowanie auditu,
  • przegląd dokumentacji,
  • komunikowanie się z personelem Klienta,
  • przeprowadzenie auditu w obiektach Klienta (auditu na miejscu – nie krócej jak 70% ustalonego czasu trwania auditu) w ramach 8 godzin pracy, w tym planowane przerwy,
  • opracowanie raportu.

 

Czas trwania auditu certyfikującego może obejmować techniki auditowania zdalnego (jeżeli jest to możliwe) max do 30% czasu trwania auditu na miejscu.

Podstawą do określenia czasu auditu dla systemu ISMS (SZBI) jest efektywna liczba personelu, tj. ogólna liczba osób pracujących pod kontrolą organizacji na wszystkich zmianach.

Liczba personelu jest obliczana z uwzględnieniem następujących czynników:

  • liczba personelu zaangażowanego w ramach zakresu certyfikacji,
  • pracownicy ujęci częściowo w zakresie certyfikacji,
  • forma zatrudnienia: pełny etat, na część etatu, personel niepracujący na stałe (sezonowo, tymczasowo, na umowę o dzieło lub zlecenie),
  • praca w systemie zmianowym.

 

Czas trwania auditu certyfikującego może obejmować techniki auditowania zdalnego (jeżeli jest to możliwe) max do 30% czasu trwania auditu na miejscu.

Podstawą do określenia czasu auditu dla systemu BCMS jest efektywna liczba personelu, tj. ogólna liczba osób pracujących pod kontrolą organizacji na wszystkich zmianach.

Liczba personelu jest obliczana z uwzględnieniem następujących czynników:

  • liczba personelu zaangażowanego w ramach zakresu certyfikacji,
  • pracownicy ujęci częściowo w zakresie certyfikacji,
  • forma zatrudnienia: pełny etat, na część etatu, personel niepracujący na stałe (sezonowo, tymczasowo, na umowę o dzieło lub zlecenie, podwykonawstwo),
  • praca w systemie zmianowym.

 

Liczba personelu zatrudnionego na część etatu i pracowników ujętych częściowo w zakresie certyfikacji przeliczna jest na liczbę personelu pełnoetatowego, w zależności od liczby godzin pracy.

W przypadku, gdy znaczna część personelu realizuje działania lub funkcje o powtarzalnym charakterze (np. personel sprzątający, pracownicy ochrony i transportu, handlowcy, konsultanci telefoniczni, pracownicy linii produkcyjnej itd.), dozwolone jest zmniejszenie liczby personelu, w zależności od branży, w której działa certyfikowana organizacja.

Gdy organizacja zatrudnia personel pracujący w systemie zmianowym, czas trwania i harmonogram auditu ustalany jest w sposób pozwalający na przeprowadzenie oceny skutecznego wdrożenia systemu zarządzania, z uwzględnieniem potrzeby auditowania pracy na poszczególnych zmianach. W przypadku, gdy procesy realizowane na poszczególnych zmianach są takie same oraz organizacja wykazała skuteczny nadzór na każdej zmianie, możliwe jest odstąpienie od auditowania II i/lub III zmiany.

W przypadku, gdy organizacja zatrudnia znaczną liczbę tymczasowego personelu niewykwalifikowanego zastępującego zautomatyzowane procesy, możliwe jest zmniejszenie efektywnej liczby personelu.

Przy wyznaczaniu czasu trwania auditu przyjmuje się, że czas auditu w nadzorze (N) wynosi 1/3 auditu certyfikującego (C), auditu ponownej certyfikacji (PC) wynosi 2/3 auditu C (poniższa tabela).

L.p.Liczba personelu (liczba osób pracujących pod kontrola organizacji)Ocena systemu zarządzania (auditodni)
11-105
211-156
316-257
426-458.5
546-6510
666-8511
786-12512
8126-17513
9176-27514
10276-42515
11426-62516.5
12625-87517.5
13876-117518.5
141176-155019.5
151551-202521
162026-267522
172676-345023
183451-435024
194351-545025
205451-680026
216801-850027
228501-1070028
23> 10700Do indywidualnych ustaleń

W czasie nadzoru nad certyfikacją dokonuje się przeglądu czasu trwania planowanych auditów w nadzorze i dla ponownej certyfikacji pod względem jego aktualności.

W czasie auditu certyfikującego przeprowadza się audit I etapu. CCJ praktycznie planuje od 0,5 do 2 auditodni, w zależności od liczby personelu (liczby osób pracujących pod kontrola organizacji) oraz liczby certyfikowanych systemów. Czas trwania auditu I etapu nie może być dłuższy niż 20% czasu trwania auditu na miejscu.

Przy wyznaczaniu liczby auditodni uwzględniamy:

  • złożoności BCMS (np. krytyczność informacji, ryzykowne sytuacje w BCMS itp.);
  • rodzajów działalności biznesowej prowadzonych w zakresie BCMS;
  • wykazywanych wcześniej wyników BCMS;
  • rozległości i zróżnicowania techniki stosowanej we wdrożeniu różnych elementów BCMS;
  • zakresu zlecania na zewnątrz i umów ze stronami trzecimi wykorzystywanymi w zakresie BCMS;
  • liczby lokalizacji i liczby ośrodków odtwarzania po katastrofie (DR);
  • dla audytu nadzoru i ponownej certyfikacji: ilości i zakresu zmian istotnych dla BCMS zgodnie z ISO/IEC 17021-1, pkt. 8.5.3.

Zasady ustalania czasu trwania auditu dla organizacji wielooddziałowej (w tym oddziały tymczasowe)

Organizacja wielooddziałowa rozumiana jest jako organizacja posiadająca zidentyfikowaną siedzibę centralną (nazywaną dalej centralą – lecz niekoniecznie spełniającą rolę głównego zarządu w organizacji), w której są planowane, nadzorowane lub zarządzane określone działania, oraz sieć biur lokalnych lub filii (oddziałów), w których działania te są wykonywane w całości lub częściowo.

Organizacja wielodziałowa może być jedną osobą prawną lub nie, przykłady organizacji wielooddziałowych, to:

  • organizacja posiadająca różne lokalizacje stałe lub tymczasowe,
  • organizacje działające na zasadzie franczyzy,
  • przedsiębiorstwo produkcyjne, które ma sieć biur sprzedaży,
  • przedsiębiorstwo usługowe mające wiele oddziałów świadczące podobne usługi,
  • przedsiębiorstwo prowadzące działalność w wielu filiach.

 

Oddział tymczasowy rozumiany jest jako oddział, który został ustanowiony przez organizację w celu wykonywania określonej pracy lub usługi w pewnym czasie, a który nie będzie oddziałem stałym (np. plac budowy).

CCJ stosuje próbkowanie dla organizacji wielooddziałowej/wieloma lokalizacjami z zachowaniem następujących zasad:

  • centrala oraz wszystkie oddziały objęte są jednym systemem zarządzania, który jest centralnie administrowany i auditowany,
  • centralny przegląd zarządzania obejmuje centralę i wszystkie lokalizacje,
  • audity wewnętrzne prowadzone są we wszystkich oddziałach według spójnego programu, inicjowane są wspólne zmiany w systemie zarządzania i dokumentacji systemowej w ramach doskonalenia, rozpatrywania skarg, itp.,
  • wszystkie oddziały muszą mieć prawne lub kontraktowe powiązanie z centralą, które określają jej uprawnienia,
  • w oddziałach realizowane są tego samego rodzaju procesy, podobnymi metodami i według podobnych procedur i systemów informacyjnych,
  • próbkowanie musi zapewnić możliwość oceny przebiegu procesów funkcjonujących w organizacji wielooddziałowej, na zasadzie jednego przykładu,
  • jeżeli w jednym oddziale stwierdzona jest niezgodność to w pozostałych oddziałach powinna być przeanalizowana taka sama sytuacja i również podjęte działania korygujące. Możliwe jest zwiększenie próbkowania w tych obszarach do czasu upewnienia się, że sytuacja się ustabilizowała,
  • jeżeli została stwierdzona niezgodność z wymaganiami normy w jednym oddziale to dotyczy to całej organizacji wielodziałowej i nie można wydać certyfikatu dla całości; nie można po fakcie zapisania niezgodności wyłączać oddziału, w którym tą niezgodność stwierdzono.

 

Przykładowa minimalna liczba auditowanych oddziałów może wynosić:

  • audit certyfikacyjny – liczba oddziałów/lokalizacji, w których będzie przeprowadzany audit jest to pierwiastek kwadratowy z ogólnej liczby oddziałów/lokalizacji

    gdzie:
    y – liczba oddziałów/lokalizacji, w których będzie przeprowadzany audit,
    x – ogólna liczba oddziałów/lokalizacji auditowanych.

  • audit w nadzorze – liczba oddziałów/lokalizacji, w których będzie przeprowadzany audit jest to pierwiastek kwadratowy z ogólnej liczby oddziałów/lokalizacji z uwzględnieniem współczynnika 0.6 tj.

  • audit ponownej certyfikacji – liczba oddziałów/lokalizacji, w których będzie przeprowadzany audit jest to pierwiastek kwadratowy z ogólnej liczby oddziałów/lokalizacji z uwzględnieniem współczynnika 0.8 tj.

Czas w każdym oddziale/lokalizacji oblicza się oddzielnie tak, jak dla organizacji jednooddziałowej. Zależnie od zakresu oceny prowadzonej w danym oddziale/lokalizacji, możliwe jest skrócenie lub wydłużenie czasu trwania auditu. Przyjmuje się zasadę, że wyliczona w ten sposób suma czasu trwania auditów w cyklu 3-letnim w organizacji wielooddziałowej nie może być krótsza od analogicznej sumy wyliczonej jak dla organizacji jednooddziałowej wykonującej ten sam zakres czynności przy uwzględnieniu całkowitego stanu zatrudnionych zaangażowanych w realizację zakresu certyfikacji we wszystkich oddziałach.

W całym procesie certyfikacji i nadzoru CCJ ocenia wszystkie oddziały/lokalizacje organizacji z uwzględnieniem powyższej metodologii. W procesie certyfikacji, nadzoru i ponownej certyfikacji centrala organizacji wielooddziałowej/zlokalizowanej w wielu miejscach zawsze jest poddawana ocenie.

Zasady ustalania liczby auditodni dla organizacji wnioskującej o certyfikację zintegrowanych systemów zarządzania lub organizowania auditu połączonego

CCJ dla organizacji, które certyfikują system BCMS zintegrowany z, np.: ISMS, QMS, BHP, FSMS, EMS, AQAP, stosuje następującą zasadę:

  • podstawą do wyliczania liczby auditodni jest liczba personelu (liczba osób pracujących pod kontrola organizacji),
  • część wspólna dla zintegrowanego systemu wynosi nie więcej niż 20%.


Ponadto w określaniu ostatecznej liczby auditodni uwzględnia się:

  • rodzaj systemu zintegrowanego,
  • kompetencje zespołu auditującego,
  • stopień udokumentowania (zintegrowania) systemu,
  • występujące zagrożenia,
  • redukcja lub zwiększanie czasu trwania auditu,
  • zniżki lub zwyżki wynikające z poniżej przedstawionych przypadków.

W ramach określania czasu trwania auditu mają zastosowanie zniżki lub zwyżki w przypadkach określonych poniżej

Zniżki mogą dotyczyć organizacji:

  • którą CCJ wcześniej już certyfikował,
  • procesy obejmują tylko jedną działalność,
  • które nie są odpowiedzialne za projektowanie lub inne elementy normy,
  • w których brak jest lub jest niskie ryzyko związane z wyrobem/procesem technologicznym,
  • posiadających dojrzały system zarządzania lub posiadających doświadczenie w innych systemach zarządzania, uznany przez inną akredytowaną jednostkę certyfikującą (trzecią stronę),
  • które działają na bardzo małym terenie w odniesieniu do liczby pracowników (np. tylko kompleks biurowy),
  • w których realizowany jest audit połączony (w przypadkach równoczesnej współpracy z innymi jednostkami certyfikującymi),
  • które prowadzą działania o niskiej złożoności, np.:
  • działania związane z jedną główną działalnością (np. tylko usługi),
  • w których wysoki procent zatrudnionych wykonuje te same proste zadania,
  • identyczne działania na zmianach,
  • proste funkcje w realizowanych procesach,
  • znaczna część personelu pracuje poza lokalizacją, np.: handlowcy, kierowcy, serwisanci i możliwe jest auditowanie w formie przeglądu zapisów.


Suma zniżek nie powinna przekraczać 30 %.

Zwyżki mogą dotyczyć organizacji:

  • skomplikowana logistyka, wiążąca się z więcej niż jednym budynkiem lub jedną lokalizacją w zakresie BCMS;
  • personel posługujący się w pracy więcej niż jednym językiem (wymagający tłumacza(-y) lub uniemożliwiający indywidualnym audytorom niezależną pracę), lub dokumentacja dostarczona w więcej niż jednym języku;
  • działania, które wymagają odwiedzin tymczasowych lokalizacji, żeby potwierdzić działania w stałych lokalizacjach, w których system zarządzania podlega certyfikacji (patrz akapit poniżej następnej listy);
  • duża liczba norm i regulacji, mających zastosowanie w BCMS.


Suma wszystkich zniżek opisanych w niniejszych zasadach nie może przekraczać 30 % czasu określonego w pierwszej tabeli.