Opzet van ISO/PAS ISO/PAS bestaat uit vier hoofdstukken en twee informatieve bijlagen.

Transcriptie

1 Notitie Aan Protect Van Dr. T.M. Verduijn Onderwerp ISO Kobe, Japan ISO/PAS Supply Chain Security Inleiding ISO/PAS is een nieuwe standaard voor supply chain security die aangeeft op welke wijze bedrijven het supply chain security management proces op kunnen zetten. De ISO/PAS geeft aan welke stappen een bedrijf moet doorlopen en welke aspecten en activiteiten binnen elk van deze stappen aan de orde (kunnen) komen. De basis voor ISO/PAS is gelegd door de werkgroep tijdens de werkbijeenkomsten in Panama en Madrid. Van 12 tot 15 september 2005 heeft in Kobe (Japan) de laatste werkbijeenkomst plaatsgevonden van de werkgroep ISO/PAS Tijdens deze werkbijeenkomst is de concept tekst voor deze ISO/PAS afgerond. Mobiliteit en Logistiek Van Mourik Broekmanweg 6 Postbus AA Delft T F tmv@tno.nl Doorkiesnummer Doorkiesfax Opzet van ISO/PAS ISO/PAS bestaat uit vier hoofdstukken en twee informatieve bijlagen. 0. Introduction 1. Definitions and terminology 2. Scope of specification 3. Scope of coverage 4. Supply Chain Security Process Bijlage 1 Guidelines for best practice Bijlage 2 Methodology for security risk assessment De kern van het document is paragraaf 4: Supply Chain Security Process. Het Supply Chain Security Process geeft aan welke stappen een bedrijf moeten doorlopen om een continue een adequate supply chain security te garanderen. Het supply chain security process bestaat uit de stappen: 1 Identify scope of security assessment 2 Carry out security assessment 3 Develop security plan 4 Execute supply chain security process 5 Document and monitor supply chain security process Voor stap 2: Carry out security assessment is een nadere uitwerking opgenomen: 1 Identify security measures 2 List applicable threat scenarios

2 3 All assessed? 4 Select a threat scenario 5 Evaluate (existing) security measures 6 Determine consequences 7 Determine likelihood 8 Adequate? 9 Develop additional security measures 2/6 Alle stappen zijn weergegeven in de volgende figuur: Identify Scope of Security Assessment Supply Chain Security Process Carry out Security Assessment Identify existing security measures List applicable threat scenarios Yes Assessed? No Select a threat scenario Evaluate security measures Continual Improvement Determine consequence Determine likelihood Adequate? Yes No Develop additional measures Develop Security Plan Adequate? Yes No SHIP 2 Execute Supply Chain Security Process Document & Monitor Supply Chain Security Process

3 Er twee informative annexes gedefinieerd die meer gedetailleerde informatie bevatten over de invulling van het supply chain security process. De eerste is een inhoudelijke uitwerking van het supply chain security process en heeft nu de lange lijst van aandachtspunten die eerder in de tekst zelf stonden of in ISO/PAS De tweede annex is een toelichting op het security assessment process dat een onderdeel is van het gehele supply chain security process. De tweede annex is interessant omdat het aangeeft hoe risico s en impacts afgewogen kunnen worden. De methode is zeer algemeen en veel bedrijven zullen moeite hebben om zelfstandig deze afweging te maken. 3/6 Belangrijke discussiepunten De volgende fundamentele discussiepunten zijn aan de orde geweest tijdens de bijeenkomst: 1 Concept document Europese Commissie. Van de Europese Commissie is een werkdocument ontvangen waarin security maatregelen worden genoemd voor de modaliteiten spoor, binnenvaart, weg en short sea. Dit werkdocument is afkomstig van een lopend EU-project waarin DNV participeert. Op basis van document kan geconcludeerd worden dat de Europese Commissie security zich in haar security beleid niet allen richt op de EU-buitengrenzen maar ook op supply chain security voor intra-europese goederenstromen. In het document staan maatregelen rijp en groen door elkaar. Er is door de Europese Commissie ook een analyse gemaakt welke maatregelen mogelijk niet realiseerbaar zijn. De EU twee veiligheidsniveaus definieert: een standaard niveau en een niveau voor verhoogd risico. Dit komt in ISO/PAS slechts minimaal aan de orde. Er wordt daarin gezegd dat een bedrijf instaat moet zijn aan de door de overheid opgelegde veiligheidniveaus te volgen. Het document puur gericht is op transport. Logistieke activiteiten zoals warehousing, productie, overslag komen nauwelijks aan bod. Dit is een duidelijk verschil met de ISO/PAS Vetting - het screenen van personeel prominent in het EU document voorkomt. Voor ISO/PAS is het niet mogelijk om dat als absolute eis in te voeren omdat het in sommige landen wettelijk verboden is of niet praktisch uitvoerbaar. de EU er voor kiest om een heel pakket van concrete maatregelen op te stellen waaraan bedrijven moeten voldoen. Het probleem is dat dit niet garandeert dat met het volgen van deze maatregelen de supply chain volledig veilig is. ISO/PAS kiest er voor om bedrijven een methode aan te reiken hoe ze zelf systematisch kunnen analyseren en bepalen welke maatregelen nodig zijn. er verschillen zijn in interpretatie tussen ISO/PAS en de Europese Commissie over het begrip contigency. De EU heeft een uitgebreide paragraaf over contingency. Volgens mij bedoelt de EU hier crisis management of emergency management. Hierover wordt binnen ISO/PAS niet veel

4 gezegd. Men vraagt alleen of het bedrijf daarvoor een emergency plan heeft en men eist dat men telefoonnummers heeft van contactpersonen bij de relevante autoriteiten. Binnen de werkgroep is contingency anders opgevat. Met contingency bedoelt men de situatie waarin een incident heeft plaatsgevonden bij een bedrijf of land en de overheid tijdelijk aanvullende eisen stelt aan dat bedrijf of land. Bijvoorbeeld: er is een incident met containers van Starbucks uit Guatamala (er zijn bijvoorbeeld wapens gevonden) en de Amerikaanse overheid stelt extra maatregelen alleen voor de containers van Starbucks. In dat geval moet Starbucks aan deze regels gaan voldoen. Men vond het echter onacceptabel dat Starbucks dan voorbereid moet zijn op allerlei mogelijke maatregelen die de overheid kan nemen zonder dat men weet welke de overheid precies gaat nemen. Dit zou veel te duur worden. Daarom is het voldoende om aan te geven dat er een proces bestaat hoe deze extra maatregelen zullen worden afgehandeld. 4/6 2 Compliant with ISPS en WCO framework Het was de World Shipping Council en BIMCO er alles aangelegen om er voor te zorgen dat wanneer met aan ISPS of WCO framework voldoet men automatisch een goedkeuring voor ISO/PAS zou kunnen krijgen. Dit is nu inderdaad zo geregeld. De afstemming met WCO framework zal plaatsvinden na de Kobebijeenkomst en voordag de ISO/PAS voor goedkeuring aan de ISO-leden wordt voorgelegd. 3 First, second and third party In ISO/PAS dat ISO/PAS kan worden verkregen op basis van security audits van first, second and third parties. Deze tekst is voor ISO/PAS niet overgenomen om te verkomen dat bedrijven als first party zelf kunnen gaan roepen dat ze ISO/PAS compliant zijn. Waarom dit wel voor is geaccepteerd is onduidelijk. Volgens de voorzitter (Steve O Malley) was dat een fout. Overigens was er veel discussie wie nu eigenlijk de second party is. 4 Onduidelijkheid over verschillen tussen ISO/PAS en ISO/PAS Het blijft onduidelijk waarom er twee ISO/PAS standaarden in voorbereiding zijn en wat de focus moet zijn voor elk van de twee supply chain security normen. Dit is door de World Shipping Council al in maart 2005 in een brief aan ISO aangegeven, maar een helder antwoord is nooit gekomen. Zelfs ervaren partijen als Lloyds Register en DNV hebben geen idee waarom er is ingezet op twee supply chain security normen. Het schijnt zeer ongebruikelijk te zijn dan een bedrijf zich binnen een ISO serie voor twee standaards zou moeten certificeren. Voor de standaards voor management systemen ISO 9000 en ISO14000 certificeert een bedrijf zich maar voor een norm binnen de serie. Men vreest daarom ook dat bedrijven door verschillende supply chain partners worden gedwongen om aan beide standaarden te voldoen. Door Lloyds Register wordt verwacht dat in het najaar het politieke spel rond de security standaarden duidelijk zal worden en er uiteindelijk maar een standaard zal overblijven. De twee ISO/PAS teksten lijken nu te veel op elkaar (niet in tekst, maar in effect). Door Steve O Malley is deze discussie steeds onderdrukt met het argument dat de werkgroep een zo goed mogelijk document moet opleveren omdat er tijdens de werkbijeenkomst toch niet helderheid geboden kan worden.

5 5 Definitie van Contractors en Business Partners Een belangrijk discussie punt blijft het begrip business partners. De vraag is wat precies een business partner is. Besloten is om daar vooral subcontractors en service providers onder te verstaan. Klanten en leveranciers vallen daar dus niet per definitie onder. Daarbij is de discussie over alle business partners onder de statement of coverage moeten vallen. De World Shipping Council blijft het gevaarlijk vinden om alle contractors (ook die je soms maar 1 keer gebruikt en soms noodgedwongen pas op het allerlaatste moment kiest) onder de specificatie te laten vallen (bijvoorbeeld wanneer je vrachtwagen ergens in Rusland kapot gaat en je hebt snel een hulpdienst nodig. Hoe controleer je dan of het bedrijf dat de reparatie uitvoert wel aan de security eisen voldoet). Er is veel gediscussieerd maar echt helder is de zaak niet geworden. De vraag blijft staan hoe je goed afbakent welk gedeelte en welke partijen er wel of niet onder de statement of coverage vallen. 5/6 Afsluitend In 2,5 dag is het document voor ISO28001 echt een heel stuk beter geworden. De toevoeging van het supply chain security process geeft goede houvast om security management te organiseren in een bedrijf. Wel blijft het de vraag of je als bedrijf apart voor je supply chain security process gecertificeerd zou willen worden naast het security manamgement systeem van ISO/PAS Echt specifiek en concreet wordt de ISO/PAS niet. Bedrijven zullen wel assistentie nodig hebben om tot een goede supply chain security assessment te komen.

6 Bijlage: Deelnemers aan de werkgroep Steven O'Malley Science Applications International Corporation Yutaka Watanabe Tokyo Univ. of Marine Science & Technology Susumu Ota National Maritime Research Institute Lars Kjaer World Shipping Council Thomas Timlen Baltic International Maritime Council William Ferguson NYK Group Americas Inc. Francis D'Addario Starbucks Coffee Company Thierry Verduijn TNO Eric Matzinger DNV Rotterdam Mark Dunn HART Land, Sea &Air Security Norman Saunders Science Applications International Corporation Andrew R. Mithell Lloyd's _Reginster Dean Kothmann BV Solutions Group Morinobu Sato Alliance of Japan Cargo Inspection Associations Hiroyuki Minakami NIRO Ichiro Ogo JSTRA TC8 Secretariat Hitomi Seki Tokyo Univ. of Marine Science & Technology 6/6