Treceți la conținutul principal

Evaluarea riscului vs. auditul securității 5. Model pentru structura cadru de management a riscurilor -2


În continuare vor fi descrise principalele blocuri ale structurii cadru:

-POLITICI OFICIALE,ASUMĂRI ȘI ÎMPUTERNICIRI conține toate declarațiile oficiale de politică referitoare la managementul riscurilor, declarațiile de conformitate cu OHSAS 18001 sau ISO 14001, obiectivele pe termen scurt/mediu/lung referitoare la managementul riscurilor precum și strategiile pe termen scurt,mediu și lung referitoare la managementul riscurilor în unitate prin care se ating aceste obiective, planul de management al riscurilor pe termen scurt (intervenții imediate în caz de eveniment neprevăzut)/mediu/lung precum și toate standardele, regulamentele interne și procedurile de bună practică specifice unității economice. Evident că într-un astfel de bloc trebuie asigurată o legătură către legislația specifică care nu trebuie neapărat păstrată în această structură cadru dar este necesar să existe o legătură către un astfel de sistem de management legislativ/verificare și validare a conformității- ne referim aici la sisteme gen EurLex sau PROMIS care să poată fi apelate în orice moment
Figura 1  detaliază acest bloc.
Figura 1. Politici oficiale, asumări și împuterniciri


Se poate observa că este unul din cele 2 blocuri ale structurii cadru care are o intrare directă, respectiv o intrare managerială/de guvernanță. Facem distincția între intrări manageriale și intrări de guvernanță pentru că putem discuta despre o organizație economică care fie că este proprietatea statului- caz în care intrările  în acest bloc sunt asigurate de guvernanța statului- corpul managerial fiind numit de acesta, fie că este proprietatea unui privat sau unei companii private (de exemplu cu sediul în SUA) care angajează un corp managerial.
Vom discuta despre:
-Politici oficiale declarate- transpuse în scris- și asumate de către managementul unității economice. Aceste declarații scrise nu trebuie neapărat să aibă totdeauna un caracter formal- cele mai cunoscute fiind declarațiile de conformitate cu ISO 9001, OHSAS 18001 sau ISO 14.001 dar pot fi și declarații referitoare la confortul în muncă al angajaților, politica referitoare la riscurilor ocupaționale, etc. În condițiile în care astfel de declarații sunt asumate de management ele devin un mecanism de dezvoltare continuă pentru organizația economică respectivă.
-Strategii pe termen mediu și lung- dacă managementul companiei realizează astfel de strategii și le definește ca obiective pentru dezvoltarea viitoare a companiei atunci ele vor contribui ca referențiale permanente pentru activitățile operaționale, implicit pentru activitățile legate de auditul SSM și de managementul riscurilor. Astfel, de exemplu, o astfel de strategie poate fi următoarea ”Începând din anul 2015 toate activitățile companiei care pot genera riscuri vor fi auditate în mod permanent cel puțin o dată pe an” va impune ca până în 2015 să fie dezvoltate metodologiile de auditare SSM pentru fiecare activitate, să fie desemnați  și instruiți specialiștii care vor executa aceste audituri și de testarea acestor metodologii pe teren precum și de dezvoltarea unui sistem integrat de înregistrare și analiză a rezultatelor;
-Strategii pe termen scurt- aici organizația economică își poate stabili propriile strategii cum ar fi, de exemplu ”orice incident soldat cu lezarea personalului trebuie investigat de către responsabilul MR chiar dacă  este vorba despre o leziune minoră” sau ”orice eveniment care conduce la o pierdere directă mai mare de 1000 de lei trebuie investigat de către responsabilul MR iar acesta trebuie să elaboreze o măsură scrisă destinată eliminării unor astfel de evenimente.
Actualizarea politicilor și strategiilor oficiale se face în funcție de context. Dacă nu se produc schimbări majore în activitatea unității economice și nu se schimbă nici legea atunci nu este nevoie de actualizarea/ redefinirea politicilor oficiale. Pe de altă parte când se produce o schimbare relevantă- de exemplu trecerea de la directiva Seveso II la directiva SEVESO III și reclasificarea unităților care intră sub incidența Seveso o astfel de actualizare a politicilor se impune.
Același lucru este valabil și pentru strategii. Dacă organizația economică își modifică anumite activități sau își adaugă în obiectul de activitate activități noi- cum ar fi de exemplu producerea de echipament pentru generarea energiilor neconvenționale, în special a celor eoliene- trebuiesc elaborate noi strategii de managementul riscurilor. 
-ÎNREGISTRĂRI ȘI ANALIZA ACESTORA- este blocul static propriu-zis al structurii cadru. Aici vor fi înregistrate evenimentele neprevăzute cât și materializarea lor, conform legislației din România prin incidente periculoase și accidente de muncă. Pentru ca astfel de evenimente neprevăzute să devină lecții învățate (lessons learned) pentru personalul și managementul unității economice este indicat ca ele să fie însoțite de către o analiză post-mortem acolo unde este cazul.
Figura 2 prezintă pașii activităților pentru acest bloc.
Din figură se poate observa că prima activitate relevantă este cea de colectare (elicitare) înregistrări.
Elicitarea se poate traduce prin ”  A aduna informatii prin observare directa a semnalelor non-verbale sau punand intrebari despre meta-model.”[i] . Discutăm deci despre un proces de colectare de informații.Aceste informații pot fi oferite de:
-înregistrări de rutină: de exemplu activitățile economice principale desfășurate de către unitatea economică conform codurilor CAEN, precum și personalul din unitare repartizat fiecăreia din aceste activități;pierderile înregistrate în cadrul unei astfel de activități ierarhizate pe pierderi datorate operatorului uman (de exemplu valoarea echipamentului de protecție deteriorat), utilajelor de producție (de exemplu valoarea pieselor de schimb și a manoperei de mentenanță, etc.). Referitor la înregistrările de rutină, o abordare eficientă în designul, dezvoltarea și implementarea structurii cadru ar putea fi utilizarea sistemelor de înregistrare (financiar-contabil, magazie, personal) existente deja în unitatea economică și dezvoltarea în mod specific doar a părții referitoare la riscuri. Astfel, nu numai că vor fi folosite formate care sunt înțelese de către ceilalți manageri ai unității dar pentru înregistrări existente deja- de exemplu pentru activitatea economică X unde sunt implicați 69 de lucrători – pot fi atașate riscurile la care sunt expuși cei 69 de lucrători- realizându-se astfel o hartă de expunere pe riscuri.
-evenimente neprevăzute- înregistrarea evenimentelor neprevăzute este imperativ necesară pentru orice fel de management eficient. Chiar dacă un eveniment neprevăzut n-a avut consecințe directe semnificative (de exemplu banda de montaj pentru activitatea X s-a oprit pentru 5 minute datorită unei pene de curent din exteriorul unității) totuși consemnarea oricărui eveniment neprevăzut semnificativ și analiza lui ulterioară sunt extrem de importante pentru un management optimal al riscurilor.Evenimentele neprevăzute care trebuiesc neapărat înregistrate sunt:
-pierderile economice legate de producție și care depășesc o anumită sumă – de exemplu rebutarea unui întreg lot de piese care conduce la pierderi de peste 5.000 de lei;
- avariile și implicit pierderile economice provocate de acestea- de exemplu avarierea mașinii de prelucrat bolțuri – pierderile rezultate din această avarie în termeni de necesități reparații, pierderi propriu-zise de producție, etc;
-situațiile pre-accident (near miss)- de exemplu, la ora 5.30 o bucată din tavanul secției s-a desprins și s-a prăbușit pe sol. DIn fericire, la ora respectivă nu se afla nimeni acolo;
-incidentele și incidentele grave- de exemplu, dl.X lucrând la baia de tratament termic, din neatenție a scăpat un strop de soluție pe piele necesitând îngrijiri medicale de ½ zile ;
-accidentele de muncă, incluzând aici și accidentele colective și accidentele majore; se face uneori confuzie aici între un accident colectiv- de exemplu răsturnarea unei mașini cu lucrători care a condus la accidentarea  ușoară a a 24 de lucrători  și accidentele majore- cum ar fi de exemplu o explozie continuată cu un incendiu care a condus la decesul a 5 lucrători. Chiar dacă în primul exemplu numărul de accidentați a fost mai mare, gravitatea celui de-al doilea exemplu este mult mai importantă;
-rezultatele activității de management a riscurilor- de exemplu rezultatele auditului intern de securitate efectuat anual la secția de acoperiri metalice; aici pot fi incluse și date despre potențialul accidentogen al lucrătorilor- date de interes deosebit mai ales când activitatea nu este rutinieră ci se desfășoară la diverse puncte de lucru, pe echipe. Astfel ,de exemplu, un lucrător care a suferit până în acel moment 4 accidente chiar minore nu va fi pus să debranșeze rețeaua de energie electrică pentru a începe niște săpături și nici nu va fi trimis într-o zonă periculoasă din punct de vedere al securității și sănătății în muncă.
Figura 2. Bloc înregistrări


Comentarii

Postări populare de pe acest blog

IDENTIFICAREA ȘI ANALIZA CAUZELOR RĂDĂCINĂ -1

Analiza cauzelor rădăcină este o metodă extrem de folosită de către managementul de performanță  din firmele dezvoltate. Metoda este considerată ca o metodă primară- care trebuie utilizată în primele faze ale analizei specifice procesului managerial. Ne propunem să prezentăm o metodă de analiză a cauzelor rădăcină care să poată fi aplicată atât pentru managementul calității cât și pentru managementul securității – ținând seama de faptul că în cea mai mare parte, cauzele rădăcină ale problemelor de calitate și problemelor de securitate și sănătate sunt comune. Figura 1 prezintă modul  global de analiză pentru cauzele rădăcină Din figură se poate observa că avem 2 procese distincte: ·         -un proces de identificare- care va fi realizat pe baza metodei cunoscute și ca 5 W ( 5 Why); ·         -un proces de analiză; procesul de analiză urmărește: o   stabilirea cauzelor specifice managementului calității și managementului de SSM; o   ierarhizarea cauzelor identificate;

Figura 1  Structurare…

VULNERABILITY METRICS AND KPI

KPI definitionA key performance indicator(KPI) is a measure of performance, commonly used to help an organization defineand evaluate how successful it is, typically in terms of making progress towards its long-term organizational goals.
–KPIs provide business-level context to security-generated data –KPIs answer the “so what?” question –Each additional KPI indicates a step forward in program maturity –None of these KPIs draw strictly from security data
COBITControl Objectives for Information and Related Technology (COBIT) is a framework created by ISACA for information technology (IT) management and IT governance. It is a supporting toolset that allows managers to bridge the gap between control requirements, technical issues and business risks. COBIT was first released in 1996; the current version, COBIT 5, was published in 2012. Its mission is “to research, develop, publish and promote an authoritative, up-to-date, international set of generally accepted information technology control obj…

APLICAȚII ALE GRAFULUI DE RISC-1

Așa după cum s-a văzut dintr-o postare trecută, graful de risc poate fi un instrument util- și nu numai în cazul bolilor profesionale. Vom adapta în continuare  teoria existentă la teoria și practica din România și vom detalia câteva aspecte considerate de interes.
Este interesant de adaptat  graful de risc pornind de la clasicul sistem Om-Mașină folosit în practica de specialitate din domeniul SSM din România. În acest sens, folosind experiența existentă și datele statistice putem dezvolta în mod corespunzător- așa cum se prezintă în continuare în acest material.
Tabelul 1- Atribute folosite în graf Atribut Descriere I (Inițiatori) Operator(O): a. operator pregătit necorespunzător[1] b.operator malevolent [2] c.operator surprins de un eveniment neprevăzut datorat sarcinii[3] d. operator surprins de un eveniment neprevăzut datorat mașinii;[4] e. operator surprins de un eveniment neprevăzut datorat mediului/factorilor naturali. [5] Sarcină(S): a. sarcină incorect formulată- care dete…