Nederlandse Organisatie voor toegepast-natuurwetenschappelijk onderzoek / Netherlands Organisation for Applied Scientific Research
Notitie
Mobiliteit en Logistiek Van Mourik Broekmanweg 6 Postbus 49 2600 AA Delft
Aan
Protect Van
Dr. T.M. Verduijn
www.tno.nl T 015 269 68 61 F 015 269 68 54
Onderwerp
ISO 28001 Kobe, Japan Datum 11 oktober 2005
ISO/PAS 28001 Supply Chain Security Inleiding ISO/PAS 28001 is een nieuwe standaard voor supply chain security die aangeeft op welke wijze bedrijven het supply chain security management proces op kunnen zetten. De ISO/PAS 28001 geeft aan welke stappen een bedrijf moet doorlopen en welke aspecten en activiteiten binnen elk van deze stappen aan de orde (kunnen) komen. De basis voor ISO/PAS 28001 is gelegd door de werkgroep tijdens de werkbijeenkomsten in Panama en Madrid. Van 12 tot 15 september 2005 heeft in Kobe (Japan) de laatste werkbijeenkomst plaatsgevonden van de werkgroep ISO/PAS 28001. Tijdens deze werkbijeenkomst is de concept tekst voor deze ISO/PAS afgerond. Opzet van ISO/PAS 28001 ISO/PAS 28001 bestaat uit vier hoofdstukken en twee informatieve bijlagen. 0. Introduction 1. Definitions and terminology 2. Scope of specification 3. Scope of coverage 4. Supply Chain Security Process Bijlage 1 Guidelines for best practice Bijlage 2 Methodology for security risk assessment De kern van het document is paragraaf 4: Supply Chain Security Process. Het Supply Chain Security Process geeft aan welke stappen een bedrijf moeten doorlopen om een continue een adequate supply chain security te garanderen. Het supply chain security process bestaat uit de stappen: 1 Identify scope of security assessment 2 Carry out security assessment 3 Develop security plan 4 Execute supply chain security process 5 Document and monitor supply chain security process Voor stap 2: Carry out security assessment is een nadere uitwerking opgenomen: 1 Identify security measures 2 List applicable threat scenarios
Onze referentie 05-7N-252-75018 E-mail
[email protected] Doorkiesnummer 015 269 48 84 Doorkiesfax 015 269 68 54
Nederlandse Organisatie voor toegepast-natuurwetenschappelijk onderzoek / Netherlands Organisation for Applied Scientific Research
3 4 5 6 7 8 9
Datum 11 oktober 2005
All assessed? Select a threat scenario Evaluate (existing) security measures Determine consequences Determine likelihood Adequate? Develop additional security measures
Onze referentie 05-7N-252-75018 Blad 2/6
Alle stappen zijn weergegeven in de volgende figuur:
Supply Chain Security Process
Identify Scope of Security Assessment
Carry out Security Assessment Identify existing security measures
List applicable threat scenarios
Yes Assessed? No Select a threat scenario
Evaluate security measures
Determine consequence Continual Improvement Determine likelihood
Yes Adequate ? No Develop additional measures
Develop Security Plan
Yes Adequate ? No
Execute Supply Chain Security Process
Document & Monitor Supply Chain Security Process
SHIP 2
Nederlandse Organisatie voor toegepast-natuurwetenschappelijk onderzoek / Netherlands Organisation for Applied Scientific Research
Datum 11 oktober 2005
Er twee ‘informative annexes’ gedefinieerd die meer gedetailleerde informatie bevatten over de invulling van het supply chain security process. De eerste is een inhoudelijke uitwerking van het supply chain security process en heeft nu de lange lijst van aandachtspunten die eerder in de tekst zelf stonden of in ISO/PAS 28000. De tweede annex is een toelichting op het security assessment process dat een onderdeel is van het gehele supply chain security process. De tweede annex is interessant omdat het aangeeft hoe risico’s en impacts afgewogen kunnen worden. De methode is zeer algemeen en veel bedrijven zullen moeite hebben om zelfstandig deze afweging te maken. Belangrijke discussiepunten De volgende fundamentele discussiepunten zijn aan de orde geweest tijdens de bijeenkomst: 1 Concept document Europese Commissie. Van de Europese Commissie is een werkdocument ontvangen waarin security maatregelen worden genoemd voor de modaliteiten spoor, binnenvaart, weg en short sea. Dit werkdocument is afkomstig van een lopend EU-project waarin DNV participeert. Op basis van document kan geconcludeerd worden dat • de Europese Commissie security zich in haar security beleid niet allen richt op de EU-buitengrenzen maar ook op supply chain security voor intra-Europese goederenstromen. In het document staan maatregelen rijp en groen door elkaar. Er is door de Europese Commissie ook een analyse gemaakt welke maatregelen mogelijk niet realiseerbaar zijn. • De EU twee veiligheidsniveaus definieert: een standaard niveau en een niveau voor verhoogd risico. Dit komt in ISO/PAS 28001 slechts minimaal aan de orde. Er wordt daarin gezegd dat een bedrijf instaat moet zijn aan de door de overheid opgelegde veiligheidniveaus te volgen. • Het document puur gericht is op transport. Logistieke activiteiten zoals warehousing, productie, overslag komen nauwelijks aan bod. Dit is een duidelijk verschil met de ISO/PAS 28001. • ‘Vetting’- het screenen van personeel – prominent in het EU document voorkomt. Voor ISO/PAS is het niet mogelijk om dat als absolute eis in te voeren omdat het in sommige landen wettelijk verboden is of niet praktisch uitvoerbaar. • de EU er voor kiest om een heel pakket van concrete maatregelen op te stellen waaraan bedrijven moeten voldoen. Het probleem is dat dit niet garandeert dat met het volgen van deze maatregelen de supply chain volledig veilig is. ISO/PAS 28001 kiest er voor om bedrijven een methode aan te reiken hoe ze zelf systematisch kunnen analyseren en bepalen welke maatregelen nodig zijn. • er verschillen zijn in interpretatie tussen ISO/PAS 28001 en de Europese Commissie over het begrip ‘contigency’. De EU heeft een uitgebreide paragraaf over contingency. Volgens mij bedoelt de EU hier crisis management of emergency management. Hierover wordt binnen ISO/PAS 28001 niet veel
Onze referentie 05-7N-252-75018 Blad 3/6
Nederlandse Organisatie voor toegepast-natuurwetenschappelijk onderzoek / Netherlands Organisation for Applied Scientific Research
gezegd. Men vraagt alleen of het bedrijf daarvoor een emergency plan heeft en men eist dat men telefoonnummers heeft van contactpersonen bij de relevante autoriteiten. Binnen de werkgroep is contingency anders opgevat. Met contingency bedoelt men de situatie waarin een incident heeft plaatsgevonden bij een bedrijf of land en de overheid tijdelijk aanvullende eisen stelt aan dat bedrijf of land. Bijvoorbeeld: er is een incident met containers van Starbucks uit Guatamala (er zijn bijvoorbeeld wapens gevonden) en de Amerikaanse overheid stelt extra maatregelen alleen voor de containers van Starbucks. In dat geval moet Starbucks aan deze regels gaan voldoen. Men vond het echter onacceptabel dat Starbucks dan voorbereid moet zijn op allerlei mogelijke maatregelen die de overheid kan nemen zonder dat men weet welke de overheid precies gaat nemen. Dit zou veel te duur worden. Daarom is het voldoende om aan te geven dat er een proces bestaat hoe deze extra maatregelen zullen worden afgehandeld. 2 Compliant with ISPS en WCO framework Het was de World Shipping Council en BIMCO er alles aangelegen om er voor te zorgen dat wanneer met aan ISPS of WCO framework voldoet men automatisch een goedkeuring voor ISO/PAS 28001 zou kunnen krijgen. Dit is nu inderdaad zo geregeld. De afstemming met WCO framework zal plaatsvinden na de Kobebijeenkomst en voordag de ISO/PAS 28001 voor goedkeuring aan de ISO-leden wordt voorgelegd. 3 First, second and third party In ISO/PAS 28000 dat ISO/PAS 28000 kan worden verkregen op basis van security audits van ‘first, second and third parties’. Deze tekst is voor ISO/PAS 28001 niet overgenomen om te verkomen dat bedrijven als ‘first party’ zelf kunnen gaan roepen dat ze ISO/PAS 28001 compliant zijn. Waarom dit wel voor 28000 is geaccepteerd is onduidelijk. Volgens de voorzitter (Steve O’Malley) was dat een fout. Overigens was er veel discussie wie nu eigenlijk de ‘second party’ is. 4 Onduidelijkheid over verschillen tussen ISO/PAS 28000 en ISO/PAS 28001 Het blijft onduidelijk waarom er twee ISO/PAS standaarden in voorbereiding zijn en wat de focus moet zijn voor elk van de twee supply chain security normen. Dit is door de World Shipping Council al in maart 2005 in een brief aan ISO aangegeven, maar een helder antwoord is nooit gekomen. Zelfs ervaren partijen als Lloyds Register en DNV hebben geen idee waarom er is ingezet op twee supply chain security normen. Het schijnt zeer ongebruikelijk te zijn dan een bedrijf zich binnen een ISO serie voor twee standaards zou moeten certificeren. Voor de standaards voor management systemen ISO 9000 en ISO14000 certificeert een bedrijf zich maar voor een norm binnen de serie. Men vreest daarom ook dat bedrijven door verschillende supply chain partners worden gedwongen om aan beide standaarden te voldoen. Door Lloyds Register wordt verwacht dat in het najaar het politieke spel rond de security standaarden duidelijk zal worden en er uiteindelijk maar een standaard zal overblijven. De twee ISO/PAS teksten lijken nu te veel op elkaar (niet in tekst, maar in effect). Door Steve O’Malley is deze discussie steeds onderdrukt met het argument dat de werkgroep een zo goed mogelijk document moet opleveren omdat er tijdens de werkbijeenkomst toch niet helderheid geboden kan worden.
Datum 11 oktober 2005 Onze referentie 05-7N-252-75018 Blad 4/6
Nederlandse Organisatie voor toegepast-natuurwetenschappelijk onderzoek / Netherlands Organisation for Applied Scientific Research
5 Definitie van ‘Contractors’ en ‘Business Partners’ Een belangrijk discussie punt blijft het begrip business partners. De vraag is wat precies een business partner is. Besloten is om daar vooral subcontractors en service providers onder te verstaan. Klanten en leveranciers vallen daar dus niet per definitie onder. Daarbij is de discussie over alle business partners onder de ‘statement of coverage’ moeten vallen. De World Shipping Council blijft het gevaarlijk vinden om alle contractors (ook die je soms maar 1 keer gebruikt en soms noodgedwongen pas op het allerlaatste moment kiest) onder de specificatie te laten vallen (bijvoorbeeld wanneer je vrachtwagen ergens in Rusland kapot gaat en je hebt snel een hulpdienst nodig. Hoe controleer je dan of het bedrijf dat de reparatie uitvoert wel aan de security eisen voldoet). Er is veel gediscussieerd maar echt helder is de zaak niet geworden. De vraag blijft staan hoe je goed afbakent welk gedeelte en welke partijen er wel of niet onder de ‘statement of coverage’ vallen. Afsluitend In 2,5 dag is het document voor ISO28001 echt een heel stuk beter geworden. De toevoeging van het supply chain security process geeft goede houvast om security management te organiseren in een bedrijf. Wel blijft het de vraag of je als bedrijf apart voor je supply chain security process gecertificeerd zou willen worden naast het security manamgement systeem van ISO/PAS 28000. Echt specifiek en concreet wordt de ISO/PAS 28001 niet. Bedrijven zullen wel assistentie nodig hebben om tot een goede supply chain security assessment te komen.
Datum 11 oktober 2005 Onze referentie 05-7N-252-75018 Blad 5/6
Nederlandse Organisatie voor toegepast-natuurwetenschappelijk onderzoek / Netherlands Organisation for Applied Scientific Research
Bijlage: Deelnemers aan de werkgroep Steven O'Malley Yutaka Watanabe Susumu Ota Lars Kjaer Thomas Timlen William Ferguson Francis D'Addario Thierry Verduijn Eric Matzinger Mark Dunn Norman Saunders Andrew R. Mithell Dean Kothmann Morinobu Sato Hiroyuki Minakami Ichiro Ogo Hitomi Seki
Science Applications International Corporation Tokyo Univ. of Marine Science & Technology National Maritime Research Institute World Shipping Council Baltic International Maritime Council NYK Group Americas Inc. Starbucks Coffee Company TNO DNV Rotterdam HART Land, Sea &Air Security Science Applications International Corporation Lloyd's _Reginster BV Solutions Group Alliance of Japan Cargo Inspection Associations NIRO JSTRA TC8 Secretariat Tokyo Univ. of Marine Science & Technology
Datum 11 oktober 2005 Onze referentie 05-7N-252-75018 Blad 6/6
