Zarządzanie bezpieczeństwem - Zachodniopomorski Uniwersytet

Transkrypt

2015-05-17
ZachodniopomorskiUniwersytet
Uniwersytet Technologiczny
Technologiczny wwSzczecinie
Zachodniopomorski
Szczecinie
WydziałInżynierii
Inżynierii Mechanicznej
Mechanicznej i Mechatroniki
Wydział
i Mechatroniki
Dr inż. Agnieszka Terelak-Tymczyna
Zarządzanie
bezpieczeństwem
Wykłady 2014/2015
Zaliczenie odbędzie się w formie testu
Konsultacje: pok. 230
Zasady zaliczania
Kontakt:
[email protected]
[email protected]
Materiały dostępne na stronie :
www.aterelak.zut.edu.pl
Literatura
1. Szopa T.: Niezawodność i bezpieczeństwo. Oficyna Wydawnicza Politechniki Warszawskiej,
Warszawa, 2009.
2. Pamuła W.: Niezawodność i bezpieczeństwo. Wydawnictwo Politechniki Śląskiej, Gliwice, 2011.
3. K. Liderman: „Analiza ryzyka i ochrona informacji w systemach komputerowych”, Mikom PWN,
2008
4.
Y. Y. Chong, E. M.Brown: „Zarządzanie ryzykiem projektu”, Dom Wydawniczy ABC, 2001
5.
A. Białas: Bezpieczeństwo informacji i usług w nowoczesnej instytucji i firmie, WNT, 2007
6.
W. Zawieska (red.), Ocena ryzyka zawodowego Tom 1 - Podstawy metodyczne, wydanie III
zaktualizowane, Centralny Instytut Ochrony Pracy - Państwowy Instytut Badawczy, Warszawa,
2004
7.
J. Kowalski: Podstawy prawne ochrony pracy w Polsce. W: Bezpieczeństwo pracy i ergonomia.,
Red. nauk. D. Koradecka. Warszawa, CIOP 1999
8.
K. Szczepańska: Metody i techniki TQM, Oficyna Wydawnicza Politechniki Warszawskiej,
Warszawa 2009,
9.
J. Szlązak, N. Szlązak: Bezpieczeństwo i higiena pracy, Uczelniane Wydawnictwo NaukowoDydaktyczne AGH, Kraków 2005
10. Dyrektywy nowego podejścia UE – www.oznaczenie-ce.pl
11. PN-N-18001:2004 Systemy zarządzania bezpieczeństwem i higieną pracy. Wymagania.
12. PN-N-18002:2000 Systemy zarządzania bezpieczeństwem i higieną pracy. Ogólne wytyczne oceny
ryzyka zawodowego.
13. PN-N-18004:2001 Systemy zarządzania bezpieczeństwem i higieną pracy. Wytyczne.
1
2015-05-17
Wprowadzenie.
Podstawowe pojęcia i
definicje
Definicja
Wykłady 2014/2015
Zarządzanie bezpieczeństwem określa się jako pakiet
działań dążących do osiągnięcia zamierzonego stanu
bezpieczeństwa oraz utrzymywania go na określonym
poziomie. Działania te dążą do minimalizacji
prawdopodobieństwa
wystąpienia
zdarzeń
niepożądanych oraz stwarzają możliwość do jego
kontrolowania i monitorowania poprzez identyfikację
zagrożeń oraz ocenę występującego ryzyka.
Andrzej Białas
Zarządzanie bezpieczeństwem jest to identyfikacja,
ocena i ustalenie priorytetów wystąpienia ryzyka
poprzez takie koordynowanie działaniami w
przedsiębiorstwie aby zminimalizować, monitorować
i kontrolować prawdopodobieństwo wystąpienia
zjawisk niepożądanych.
Zarządzanie bezpieczeństwem
ZAGROŻENIE
Definicja
RYZYKO
2
2015-05-17
„Zagrożenie jest to możliwość powstania określonych
strat, ustalana dla sytuacji powstałej po zajściu
pojedynczego
zdarzenia
niepożądanego
w
rozpatrywanym systemie człowiek-technika-środowisko…”
Tadeusz Szopa
Definicja
„Zagrożenie – to sytuacja niebezpieczna, w której
występuje obiekt mogący doznać szkody lub obiekt, który
może ponieść stratę w efekcie uaktywnienia się
niebezpieczeństwa.
Strata
odnoszona
jest
do
przedmiotów, które w wyniku niebezpiecznego zdarzenia
mogą ulec uszkodzeniu lub zniszczeniu. Z kolei szkoda lub
krzywda odnosi się do człowieka…”
Jan i Nikodem Szlązak
Definicja
Zagrożenie spowodowane może być niżej
wymienionymi przyczynami:
• niesprzyjającym wpływem otoczenia,
• błędami użytkownika popełnianymi w
eksploatacji, szczególnie błędami sterowania,
• niewłaściwym działaniem obiektu, na skutek
uszkodzeń jego podzespołów.
•
Ryzyko w auditowaniu
•
•
•
Zagrożenie - zjawisko wywołane działaniem sił natury np.
trzęsienia ziemi bądź związane z działalnością człowieka,
które powoduje, że poczucie bezpieczeństwa maleje bądź
zupełnie zanika.
Zagrożenie związane z działalnością człowieka dzielimy na:
- cywilizacyjne np. imprezy masowe, choroby społeczne
- destrukcyjne np. terroryzm, przestępczość
- gospodarcze np. zanieczyszczenie środowiska, wadliwe
konstrukcje.
Zagrożenie a ryzyko - choć oba te czynniki występują
równolegle, nie należy ich ze sobą utożsamiać, gdyż podobnie
jak przyczyna i skutek są to dwa odrębne zjawiska.
Przykładowo zagrożenie mogą stanowić zwisające z dachu
duże sople, podczas gdy ryzykiem jest przebywanie
lub przechodzenie w miejscu, w którym jest możliwe uderzenie
przez oderwany sopel.
Ryzyko w przeciwieństwie do zagrożenia, wynika
z dobrowolnego działania, czyli działań wewnątrz
przedsiębiorstwa lub za jego zgodą.
3
2015-05-17
„Ryzyko nie jest najważniejszym
elementem w ekonomii.
Ważniejsze jest by ryzyko
dostrzec i prawidłowo je ocenić”.
Definicja
Definicja
Milton Friedman
Laureat Nagrody Nobla z ekonomii
• Etymologię słowa można znaleźć w kilku
językach:
• Ryzyko pochodzi z języka z języka łacińskiego,
gdzie czasownik risicare znaczy „omijać coś”
• Ryzyko pochodzi też z greki riza, które
oznacza
„rafę stanowiąca poważne
zagrożenie podczas żeglugi na morzu”
podobnie jak w języku włoskim ris(i)co
oznacza „rafę, którą statek (kupiecki)
powinien ominąć”
i znaczy też :
„mieć śmiałość, przekroczyć ustalone tradycją
ograniczenia”
• Ryzyko jest nieodłączną częścią każdej
działalności człowieka.
Ryzyko jest cechą wspólną ludzkich działań.
• Można je zaobserwować w np. polityce,
prawie, medycynie, nauce, ekonomii,
zarządzaniu, życiu codziennym…
• Należy je postrzegać jako niebezpieczeństwo,
możliwość nieosiągnięcia postawionego celu
czy zaplanowanych rezultatów
• Ludzie obawiają się ryzyka bardziej, kiedy nie
mają wpływu na nie w porównaniu z
niepewnym działaniem podejmowanym
świadomie.
4
2015-05-17
Definicja
Definicja
Definicja
ZJAWISKO RYZYKA W DZIAŁALNOŚCI GOSPODARCZEJ
• Ryzyko jest nieodłączną cechą działalności
gospodarczej: przedsiębiorca jest specjalistą
w podejmowaniu ryzyka i czerpaniu z niego
zysków.
Jednak przedsiębiorstwa są narażone na wiele
rodzajów ryzyka, z których nie wszystkie
przynoszą korzyści.
Ryzyko, nawet nieznane, może stanowić istotne
zagrożenie dla realizacji celów przedsiębiorstwa.
• Ryzyko znane powoduje natomiast niepewność,
co do efektów podejmowanych decyzji.
• Każdy przedsiębiorca wie, ryzyko to nieodłączna
i niezwykle istotna cecha każdego przedsięwzięcia
gospodarczego
• Ryzyko nie jest zjawiskiem absolutnie złym.
Gdyby nie istniało, nie miałyby racji istnienia
giełdy, instytucje ubezpieczeniowe, a także
zwykłe przedsiębiorstwa.
• Właściciele przedsiębiorstw mogą uzyskiwać
dodatkowe korzyści tylko jeśli są narażeni na
ryzyko.
• Ponadto ryzyko nie wiąże się tylko z możliwością
strat, ale także z szansą na dodatkowe przychody
dla tych, którym sprzyja szczęście.
• Jednak, jak wiemy z codziennych obserwacji,
mało kto uważa ryzyko za zjawisko korzystne.
• Ryzyko oznacza przecież, że nie jesteśmy w stanie
przewidzieć rezultatów naszych działań czy nie wolelibyśmy uniknąć tego problemu?
• W terminologii funkcjonują dwa terminy o podobnym
znaczeniu: Ryzyko oraz Niepewność.
W języku potocznym obydwa terminy często są
wykorzystywane zamiennie, lecz dla osób zarządzających
ryzykiem, znaczą coś całkiem różnego.
• Ryzyko - to zjawisko obiektywne – oznacza połączenie
możliwych efektów działania wraz z
prawdopodobieństwem (obiektywnym) ich wystąpienia.
• Niepewność - to stan umysłu – ze względu na
występowanie ryzyka, lub naszą niewiedzę, nie jesteśmy
w stanie przewidzieć efektów naszych działań.
Tam gdzie jedna osoba odczuwa niepewność, inna, lepiej
poinformowana, nie musi jej wcale odczuwać .
• Ryzyko jest zawsze połączone z niepewnością,
ale odwrotne twierdzenie nie jest prawdziwe.
• Możemy odczuwać niepewność wynikającą wyłącznie
z naszej niewiedzy o świecie
5
2015-05-17
„Ryzyko jest to możliwość pojawienia się określonych strat
(szkód) w rozważanym systemie człowiek-technikaotoczenie w określonym czasie jego funkcjonowania…”.
Definicja
Tadeusz Szopa
Przykład: Ryzyko i zagrożenie w odniesieniu do kierowcy pojazdu z
nieaktualnym przeglądem technicznym
Przejazd człowieka samochodem z miejsca pracy do miejsca
zamieszkania związany jest z pewnym ryzykiem doznania uszczerbku na
zdrowiu z powodu złego stanu technicznego pojazdu. Do takiej szkody
raczej nie dochodzi jeżeli samochód przechodzi regularnie przeglądy
techniczne z wynikiem pozytywnym. Kiedy natomiast pojawi się awaria
hamulca, jako zdarzenia niepożądanego, sytuacja zmienia się
diametralnie. W tym przypadku ryzyko doznania uszczerbku na zdrowiu
przez kierującego pojazdem zwiększa się zaskakująco szybko. To właśnie
to ryzyko poniesienia szkód, które łączy się z wystąpieniem zdarzenia
niepożądanego, tj. awarii hamulca określa się jako zagrożenie.
• Definicja z normy ISO 31000: Ryzyko
Definicja
„Skutek niepewności w odniesieniu do ustalonych
celów”
(„Połączenie konsekwencji zdarzenia
z prawdopodobieństwem jego wystąpienia”)
Ryzyko- oznacza miarę i ocenę zagrożenia czy
niebezpieczeństwa wynikającego albo z prawdopodobnych
zdarzeń od nas niezależnych, albo z możliwych konsekwencji
podjęcia decyzji.
•
•
•
•
Uwaga nr 1: Skutek(wpływ) to odchylenie od spodziewanych założeń – pozytywny lub
negatywny.
Uwaga nr 2: Niepewność to stan, nawet częściowy, niewystarczającej ilości: informacji,
znajomości rzeczy lub wiedzy, wydarzenia, jego konsekwencji lub
prawdopodobieństwa jego wystąpienia
Uwaga 3:
Ryzyko jest często określane przez odniesienie do możliwych zdarzeń
i konsekwencji lub ich połączenia. (Guide73) Słownictwo. Wytyczne dla
standardów
Uwaga nr 4: Ryzyko jest często wyrażone jako powiązanie konsekwencji wydarzenia
(włączając zmiany okoliczności) i prawdopodobieństwo jego wystąpienia
Z definicji ryzyka warto przytoczyć kilka najbardziej praktycznych:
•
„Ryzyko jako niepewność wystąpienia określonych skutków stanu natury.
Jest pewną obiektywną prawidłowością charakterystyczna dla świata
realnego, który dana jednostka subiektywnie postrzega i interpretuje”
•
„Ryzyko to niepewność związana z przyszłymi wydarzeniami
wynikami decyzji”
A.H Willet
lub
Definicja
J.K Sinkey
•
„Ryzyko oznacza podejmowanie decyzji, które nie są optymalne
z
punktu widzenia założonego celu, ze względu na fakt niepełnej informacji”
•
„Ryzyko należy postrzegać jako kombinację prawdopodobieństwa
wystąpienia jakiegoś zdarzenia oraz jego konsekwencji dla przedsiębiorstwa
(konsekwencje pozytywne lub negatywne).
•
„Ryzyko - problem, zagrożenie, które może się urzeczywistnić”
E.Kreim
6
2015-05-17
• Ustalenie kontekstu
(pkt.2.9 wg PN-ISO
31000:2012)
Definicja
„Definiowane zewnętrznych i wewnętrznych
parametrów, które powinny być uwzględnione podczas
zarządzania ryzykiem, jak również podczas określania
zakresu i kryteriów ryzyka dla polityki zarządzania
ryzykiem”.
• Kontekst wewnętrzny
(pkt.2.11 wg PN-ISO 31000:2012)
Definicja
„Środowisko wewnętrzne, w którym organizacja dąży
do osiągnięcia swoich celów”
-
Uwaga
Kontekst wewnętrzny może uwzględniać:
ład organizacyjny , strukturę organizacji, role i rozliczalność
polityki, cele i strategie ustanowione w celu ich osiągnięcia
zdolności rozumiane jako zasady i wiedza (np. kapitał, czas, ludzie,
procesy, systemy i technologie)
systemy informacyjne, przepływ informacji i procesy podejmowania
decyzji (formalne i nieformalne)
relacje z wewnętrznymi interesariuszami, ich postrzeganie i wartości
kulturę organizacji
normy, wytyczne i modele przyjęte przez organizację
formę i zakres relacji zawartych w umowach
• Kontekst zewnętrzny
(pkt.2.11 wg PN-ISO
31000:2012)
Definicja
„Środowisko zewnętrzne, w którym organizacja dąży
do osiągnięcia swoich celów” .
Uwaga
Kontekst zewnętrzny może uwzględniać:
- środowisko kulturowe, społeczne, polityczne, prawne, regulacyjne,
finansowe, technologiczne, ekonomiczne, naturalne
oraz konkurencyjne środowisko niezależnie od rozpatrywanego
zakresu:
międzynarodowego, narodowego,
regionalnego lub lokalnego
- kluczowe czynniki i trendy mające wpływ na cele organizacji oraz
- relacje z zewnętrznymi interesariuszami, ich postrzeganie i wartości
7
2015-05-17
• Ocena ryzyka
(pkt.2.14 wg PN-ISO 31000:2012)
Definicja
„Całościowy proces identyfikacji ryzyka, analizy ryzyka
oraz ewaluacji ryzyka”.
• Analiza ryzyka
(pkt.2.21 wg PN-ISO 31000:2012)
„Proces dążący do poznania charakteru ryzyka oraz określenia
poziomu ryzyka”.
Uwaga1
Analiza ryzyka stanowi podstawę do ewaluacji ryzyka oraz określenia
poziomu ryzyka
Uwaga2
Analiza ryzyka zawiera estymacje ryzyka
• Identyfikacja ryzyka
(pkt.2.15 wg PN-ISO
31000:2012)
Definicja
„Proces wyszukiwania, rozpoznawania i opisywania
ryzyka”
Uwaga1
Identyfikacja ryzyka obejmuje rozpoznanie źródła ryzyka, zdarzeń,
ich przyczyn i potencjalnych następstw”.
Uwaga2
Identyfikacja ryzyka może obejmować dane historyczne,
analizy teoretyczne, pozyskane opinie, opinie ekspertów oraz
potrzeby interesariuszy.
• Źródła ryzyka
(pkt.2.16 wg PN-ISO
31000:2012)
„Element, który sam lub w połączeniu z innymi ma
wewnętrzny potencjał, aby powodować powstanie
ryzyka”
Uwaga
Źródło ryzyka może być materialne i niematerialne.
• Zdarzenie
(pkt.2.17 wg PN-ISO 31000:2012)
Definicja
„Wystąpienie lub zmiana konkretnego zestawu okoliczności”
Uwaga1
Zdarzenie może wystąpić jeden raz lub wielokrotnie i może mieć wiele
przyczyn
Uwaga2
Zdarzenie może dotyczyć czegoś, co nie wystąpiło
Uwaga3
Zdarzenie może czasem być określane jako „incydent” lub „wypadek”
Uwaga4
Zdarzenie bez następstw może być również określane jako „niedoszłe
zdarzenie”, „incydent” , „sytuacja grożąca wypadkami” lub słowami
„o mały włos”.
8
2015-05-17
• Poziom ryzyka
(pkt.2.23 wg PN-ISO 31000:2012)
„Wielkość ryzyka lub kombinacji ryzyk, wyrażona w postaci
kombinacji następstw oraz ich prawdopodobieństwa”
• Postępowanie z ryzykiem
(pkt.2.25 wg PN-ISO 31000:2012)
Definicja
„Proces modyfikacji ryzyka”
Uwaga1 Postępowanie z ryzykiem może uwzględniać:
- unikanie ryzyka poprzez decyzję o nierozpoczynaniu lub
niekontynuowaniu działań powodujących ryzyko
- podjecie lub zwiększenie ryzyka w celu wykorzystania szansy
- usunięcie źródeł ryzyka
- zmianę prawdopodobieństwa
- zmianę następstw
- dzielenie ryzyka wraz z inną strona lub stronami (łącznie z umowami)
- retencję (zatrzymanie, ograniczenie zasięgu ryzyka ) na podstawie
świadomej decyzji
• Następstwo (konsekwencje)
(pkt.2.18 wg PN-ISO 31000:2012)
Definicja
„Rezultat zdarzenia mający wpływ na cele”
Uwaga1
Zdarzenie może prowadzić do wielu następstw
Uwaga2
Następstwo może być pewne lub niepewne i może mieć wpływ pozytywny bądź
negatywny na osiągnięcie celów
Uwaga3
Następstwa mogą być wyrażone jakościowo lub ilościowo
Uwaga4
Początkowe następstwa mogą się zwiększyć poprzez efekty uboczne
• Prawdopodobieństwo
(pkt.2.18 wg PN-ISO 31000:2012)
„Możliwość, szansa wystąpienia zdarzenia”
Uwaga1
W terminologii zarządzania ryzykiem termin „prawdopodobieństwo”
jest używany w odniesieniu do możliwości wystąpienia jakiegoś zdarzenia,
zarówno zdefiniowanego , mierzonego lub określonego obiektywnie lub
subiektywnie , jakościowo lub ilościowo, jak i opisanego przy użyciu ogólnych
terminów lub matematycznie (np. częstość w określonym przedziale czasu)
• Ewaluacja ryzyka
(pkt.2.24 wg PN-ISO
Definicja
31000:2012)
„Proces porównywania wyników analizy ryzyka
z kryteriami ryzyka (cele, polityki ,normy, przepisy itd.)
w celu stwierdzenia ,czy ryzyko i/lub jego wielkości są
akceptowane lub tolerowane”
• Ryzyko rezydualne
(pkt.2.27 wg PN-ISO
31000:2012)
„Ryzyko pozostające po zastosowaniu działań
określonych w postępowaniu z ryzykiem”
Uwaga1
Ryzyko rezydualne może zawierać ryzyko niezidentyfikowane
Uwaga2
Ryzyko rezydualne jest nazywane również „ryzykiem podlegającym
retencji”
9
2015-05-17
Ryzyko
ISO opracowało nową międzynarodową normę
ISO 31000
„General guidelines for principles and
implementation of risk management”,
którą przetłumaczono
na język polski jako
Zarządzanie ryzykeim
PN-ISO 31000:2012-03P
„Zarządzanie ryzykiem –
Zasady i wytyczne”
.
• Zarządzanie ryzykiem wg ISO 31000
obejmuje m.in. identyfikację ryzyka, ocenę
i ewaluację ryzyka, postępowanie z
ryzykiem oraz jego monitorowanie i
związaną z nimi komunikację.
• W normie PN-ISO 31000 przedstawiono
zalecane zasady dla osiągnięcia skuteczności
zarządzania ryzykiem:
Zarządzanie ryzykiem
a)
Zarządzanie ryzykiem tworzy i chroni wartość poprzez
przyczynianie się do wzrostu pewności osiągania celów
b) Zarządzanie ryzykiem powinno być integralną częścią
wszystkich procesów w organizacji
c) Zarządzanie ryzykiem jest częścią procesu podejmowania
decyzji – świadome wybory, ustalone priorytety,
d) Zarządzanie ryzykiem jednoznacznie odnosi się do
niepewności
e) Zarządzanie ryzykiem jest systematyczne, ustrukturyzowane
oraz terminowe
f) Zarządzanie ryzykiem wykorzystuje najlepsze dostępne
informacje z wielu źródeł, w tym np. dane historyczne
10
Zarzadzanie ryzykiem
2015-05-17
g) Zarządzanie ryzykiem jest dopasowane do zewnętrznych
i zewnętrznych uwarunkowań organizacji i profili ryzyk
h) Zarządzanie ryzykiem bierze pod uwagę czynniki ludzkie
i kulturowe – rozpoznaje możliwości percepcje oraz
intencje osób wewnątrz i zewnątrz organizacji, które
mogą ułatwić lub utrudnić osiągnięcie celów organizacji
i) Zarządzanie ryzykiem jest przejrzyste i całościowe –
dzięki odpowiedniemu terminowemu zaangażowaniu
j) Zarządzanie ryzykiem jest dynamiczne iteracyjne oraz
reaguje na zmiany w tym na nowe pojawiające się ryzyka
k) Zarządzanie ryzykiem ułatwia ciągłe doskonalenie
organizacji – doskonalenie poziomu dojrzałości systemu
zarządzania
1. Ustalenie kontekstu
2. Identyfikacja ryzyka
3. Analiza ryzyka
4. Oszacowanie ryzyka
5. Odpowiedź na ryzyko
(zabezpieczenie ryzyka)
Ryzyko w auditowaniu
Do procesu zarządzania ryzykiem należy
5 stopni:
11
2015-05-17
Analiza ryzyka i związane z tym metody zarządzania
ryzykiem np. - Analiza drzewa błędów wg DIN25424-1/2
- Analiza FMEA wg IEC 60812
Analiza ryzyka dotyczy specyficznych obszarów np.
•
•
•
•
•
•
Bezpieczeństwa maszyn i urządzeń - przewodnik do oceny ryzyka wg
EN 1050
Ropa naftowa i przemysł wydobycia gazu –przybrzeżne urządzenia
produkcyjne – wytyczne i procedury do wykrycia niebezpieczeństw
oraz system rozkładu ryzyka wg ISO 17666
Windy i schody ruchome – procedury dotyczące analizy ryzyka wg
ISO/TS 14798
Wyroby medyczne -zastosowanie zarządzania ryzykiem dla
wyrobów medycznych wg EN ISO 14971
Produkty spożywcze - analiza zagrożeń i krytycznych punktów
kontroli
wg HACCP i FAO/ WHO Codex Alimentarius i
ISO 22000
Zarządzanie środowiskiem –aspekty środowiskowe, gotowość i
reakcje
na awarie wg ISO 14001
Zarządzanie ryzykiem
• Zarządzanie bezpieczeństwem i higiena pracy –
wytyczne do oceny ryzyka zawodowego PN-N18002
• Technika informatyczna. Systemy zarządzania
bezpieczeństwem informacji- SZBI. Wymagania
wg ISO/IEC 27001:2013-09
• Technika informatyczna .Techniki bezpieczeństwa.
Zarządzanie ryzykiem w bezpieczeństwie
informacji
wg PN-ISO/IEC 27005:2010
• System zarządzania jakością. Wymagania dla
dostawców do NATO. Analiza ryzyka przy
zawieraniu
kontraktów o charakterze militarnym
wg standardu AQAP 2110
Ryzyko można zdefiniować na dwa sposoby:
1. definicja dystrybucyjna, w której ryzyko jest
związane z wielkością możliwego rozkładu
wyników;
2. definicja
parametryczna
związana
z
prawdopodobieństwem powstania straty i jej
wielkości.
12
2015-05-17
Definicje parametryczne można podzielić na trzy
rodzaje:
1. Ryzyko jest to prawdopodobieństwo powstania
straty.
2. Ryzyko jest tym większe, im większa może być
strata w wyniku podjętego działania
3. Ryzyko jest to iloczyn prawdopodobieństwa
poniesienia straty i jej wielkości.
Ryzyko
=
(szansa
zaistnienia,
czyli
prawdopodobieństwo) x (konsekwencje –
czyli strata)
Rodzaje ryzyka
MDR (Maksymalne Dopuszczalne Ryzyko) – wielkość
funduszy, jakie organizacja może ponieść w
przypadku występienia niekorzystnych zdarzeń i w
dalszym ciągu utrzymać się na rynku.
MDR = αFW + βZysk + γGwarancje
α – część funduszy własnych (FW) ustalona jako maksymalny limit
strat w przypadku totalnej katastrofy;
β – część rocznego zysku operacyjnego brutto, pozwalającego na
wchłonięcie skutków katastrofy;
γ – szacunkowy wskaźnik odszkodowań jako ewentualnej
rekompensaty pieniężnej lub technicznej w przypadku
powstałych szkód.
Rodzaj ryzyka
Opis
Obiektywne
Wynik analizy części pożądanych i niepożądanych zdarzeń.
Przykład: częstość występowania powodzi na danym
obszarze
Subiektywne
Inaczej subiektywna ocena ryzyka, nacechowane jest
indywidualnym spojrzeniem na sytuację. Przykład:
Czyste
Takie, którego wielkość można pomniejszyć przez
ograniczenie strat, np. w wyniku ubezpieczenia się od
ryzykownej czynności. Przykład: kradzież mienia zakładu
pracy, awarie urządzeń
Spekulacyjne
Występuje w sytuacji, w której można zarówno zyskać, jak i
stracić. Ryzyko to jest charakterystyczne dla działalności
inwestycyjnej, giełdowej ale także zawodowej i
pozazawodowej. Przykład: pominięcie wymaganych
przepisami zabezpieczeń w cyklu technologicznym (ryzyko
zawodowe)
Statyczne
Ryzyko wynikające ze statystyki zdarzeń mogących
powodować szkody. Przykład: powódź występująca na
określonym obszarze ze ściśle określoną częstotliwością i
konsekwencjami.
13
Rodzaje ryzyka
2015-05-17
Rodzaj ryzyka
Opis
Dynamiczne
Towarzyszące zmianom samego społeczeństwa, jest
następstwem zmian zachodzących w gospodarce. Przykład:
rozwój transportu lotniczego i związane z nim ryzyko
terrorystyczne.
Podstawowe
Dotyczy całego społeczeństwa lub znacznej jego części.
Przykład: recesja gospodarcza kraju i związane z nią skutki.
Szczegółowe
Dotyczy tylko niektórych grup ludzi a nawet jednostek.
Przykład: ryzyko związane z pracą policji, górników
Indywidualne
Ryzyko na jakie wystawione są pojedyncze osoby, które
rzadziej niż ogół decydują się na podjęcie ryzykownej
czynności
Zbiorowe
Ryzyko to podejmują całe grupy ludzi lub nawet całe
społeczeństwa. Przykład: kibice piłkarscy wszczynający
bójki.
Ryzyko w ISO/ DIS 9001:2014-05-09
Pkt .normy
Treść o ryzyku
Uwagi
0.5
Myślenie bazujące na ryzyku
Wprowadzenie do normy
3.09
Definicja ryzyka
Guide 73 :2009
4.4 f)
…„określenie ryzyka i szans (możliwości) w zgodności
z wymaganiem pkt.6.1 – Planowania SZJ
Podejście procesowe
5.1.2 a)
…” określenie ryzyka i szans (możliwości) , które
wpływają na odpowiedniość wyrobów i usług oraz
satysfakcji klienta
Przywództwo
i zaangażowanie
w odniesieniu do potrzeb
i oczekiwań klienta i usług
…”planowanie SZJ z ustaleniem ryzyk i szans ”
odpowiednich do potencjalnych skutków na zgodność …
Działania w odniesieniu
do ryzyka i szans
8.5.5 a)
6.1.1
6.1.2 a)
” zakres działań po dostawie zależy od ryzyka związanego
z wyrobami i usługami”..
Działania po dostawie
9.2
..”Program auditów powinien brać pod uwagę ..
wystąpienie ryzyka…”
Audit wewnętrzny
9.3.1 d)
…Przegląd zarządzania powinien być planowany
i uwzględniać : efektywność działań skierowanych
na ryzyka i szanse…
Dane wejściowe do
przeglądu zarządzania
Annex A.4
(informacyjny)
Podejście bazujące na ryzyku
Załącznik A –wykładnia
nowej struktury normy
Rodzaje ryzyka w przedsiębiorstwie:
1. Zewnętrzne:
–
–
–
–
Ryzyko
operacyjne
(ustawodawstwo,
łańcuch
zaopatrzeniowy),
Ryzyko finansowe (stopy procentowe, kursy walutowe,
ryzyko kredytowe),
Ryzyko strategiczne (konkurencja, fluktuacja popytu,
zmiany struktury podmiotowej rynku),
Niebezpieczeństwa ( umowy, otoczenie, majątek)
Rodzaje ryzyka
2. Wewnętrzne:
–
–
–
–
Płynność finansowa,
Przepływy pieniężne,
Systemy informatyczne,
Kapitał intelektualny.
14
2015-05-17
Rodzaje ryzyka w przedsiębiorstwie:
Bezpieczeństwo a analiza ryzyka
Rodzaje ryzyka
1. Ryzyko polityczne (menedżerskie, strategiczne,
etyczne)
2. Ryzyko instytucjonalne (ekonomiczne, finansowe,
rynkowe)
3. Ryzyko techniczne (operacyjne, środowiskowe,
systemów informacyjnych)
Bezpieczeństwo wiąże się z ograniczeniem ryzyka,
czyli wyeliminowaniem nieakceptowalnego ryzyka
utraty życia lub zdrowia ludzkiego, bezpośrednio lub
pośrednio, na wskutek wystąpienia zniszczeń w
obiekcie lub w jego otoczeniu.
Bezpieczeństwo
funkcjonalne
–
część
bezpieczeństwa zależna od samego systemu lub
poprawnego działania urządzenia i jest związane z
właściwą odpowiedzią na pobudzenie jego wejść.
Bezpieczeństwo funkcjonalne
Przykład :
Czujnik w uzwojenie silnika, który wykrywa
stan przegrzania i umożliwia wyłączenie
silnika, zanim ulegnie on uszkodzeniu.
15
2015-05-17
Bezpieczeństwo funkcjonalne
Bezpieczeństwo funkcjonalne powinno spełniać
dwa rodzaje wymagań:
1. Na funkcje bezpieczeństwa, opracowane na podstawie
wyników analizy hazardów (zagrożeń) określające, co
funkcje powinny realizować i w jaki sposób.
2. Na integralność, wypracowane na podstawie wyników
szacowania ryzyka, a określających prawdopodobieństwo,
że funkcja bezpieczeństwa zadziała niepoprawnie.
Pewna maszyna ma niebezpieczne wirujące ostrze, osłonięte pokrywą
umocowaną na zawiasach, która musi być odchylana podczas konserwacji
urządzenia. Podniesienie pokrywy powinno wyłączyć napęd, zanim dojdzie
do zranienia operatora.
Przykład
Podczas analizy hazardu zidentyfikowano hazard towarzyszący czyszczeniu
ostrza. Należy zapewnić by uniesienie pokrywy o wyżej niż 5 mm
doprowadzało do wyłączenia napędu i zadziałania hamulca. Ponadto
wyznaczono czas hamowania - 1 s. W ten sposób powstała specyfikacja
funkcji bezpieczeństwa, czyli pewnego elementu automatyki wbudowanego
do systemu, który w ciągu 1 s od uniesienia pokrywy na wysokość 5 mm ma
zatrzymać maszynę.
Oszacowanie ryzyka sprowadza sic do oceny skuteczności funkcji
bezpieczeństwa. Jego celem jest uzyskanie przekonania, ze zachowanie
integralności funk j i bezpieczeństwa jest wystarczające, by nikt nie był
narażany na nieakceptowalne ryzyko podczas konserwacji maszyny,
wynikające z istnienia hazardu.
Szkodą może tu być zranienie ręki operatora, a nawet jej utrata. W tym
wypadku wielkość ryzyka zależy takie od częstości prowadzenia prac
konserwacyjnych. Wymagany w tym przypadku poziom integralności sił
zależy od rodzaju uszkodzenia i częstości, z jaką operator jest w ten sposób
narażany.
1. Zależne od konstruktora:
–
–
Błędy
w
specyfikacjach
systemu,
sprzętu
,
oprogramowania;
Niekompletne specyfikacje bezpieczeństwa, np. nie
uwzględnienie pewnych trybów pracy.
Czynniki zagrożeń
2. Sprawcze:
–
–
–
–
–
Błąd ludzki
Przypadkowe uszkodzenie sprzętowe
Błąd oprogramowania
Wahania zasilania
Zjawiska zachodzące w środowisku
elektromagnetyczne, przegrzanie itp.)
(
zakłócenia
16
Identyfikacja i wycena wartości chronionych
2015-05-17
Pierwszym etapem analizy ryzyka jest identyfikacja i
wycena
wartości
chronionych.
Warunkiem
koniecznym, aby zbudować efektywny system
zarządzania
ryzykiem,
jest
zidentyfikowanie
aktywów narażonych na ryzyko oraz ustalenie,
jakiego rodzaju wartości mogą zostać utracone.
Aktywa organizacji są to wszelkie wartości
materialne i niematerialne mające znaczenie dla
osiągnięcia wyznaczonych celów organizacji.
Dla każdego rodzaju aktywów należy rozważyć, na
czym polega ich wartość dla organizacji i które cechy
aktywów powinny być chronione w warunkach
ryzyka.
Proces
Cel procesu
Czynniki ryzyka
Czynniki ryzyka w procesach przedsiębiorstwa
wytwórczego
Procesy zarządzania
Zarządzanie Zapewnienie spójności
polityką i
Polityki Ryzyka z
strategią
polityką
przedsiębiorstwa.
Zapewnienie jedności
planowanych zadań
strategicznych i celów
procesów
–
Zarządzanie Zapewnienie płynności
finansami i finansowej i dodatnich
wynikami
wyników finansowych
przedsiębiorstwa
–
Proces
Cel procesu
–
–
–
–
zmienność otoczenia politycznego i
gospodarczego
system informatyczny
ocena czynników sukcesu (trafność w
prowadzeniu analizy swot)
skłonność kardy menadżerskiej do
ryzyka
wiedza i zaangażowanie pracowników
Zmiany fiskalne przepisów
bankowych
– terminowość opłacania faktur przez
klientów
– stabilność rynków zbytu
– decyzje inwestycyjne kierownictwa
– system informacyjny
– wiedza i umiejętności pracowników
Czynniki ryzyka
wytwórczego
Procesy zarządzania
Zarządzanie
strukturą
organizacyj
ną
Zapewnienie
adekwatności
organizacyjnej do
strategii i zadań
operacyjnych oraz
wymagań otoczenia
prawne-go
przedsiębiorstwa
Zarządzanie Utrzymanie Systemu
Systemem Zarządzania Ryzykiem
Zarządzania
Ryzykiem
(utrzymani
e i rozwój
systemu)
–
–
–
–
–
system informacyjny
zmienność relacji prawnych
opór przed zmianami
kultura organizacyjna
wiedza i zaangażowanie pracowników
–
–
–
–
kwalifikacje menedżerów
decyzje kierownictwa
bazy danych
17
2015-05-17
Proces
Cel procesu
Czynniki ryzyka
wytwórczego
Procesy doskonalenia
Audity
wewnętrzn
e
Zapewnienie
– system informatyczny
sprawności
– zaangażowanie i umiejętności
funkcjonowania
auditorów
Systemu Zarządzania
Ryzykiem przez bieżące
monitorowanie
procesów i wskazania
dotyczące
podwyższania jakości
ich funkcjonowania
Działania
korygujące i
zapobiegaw
cze
Korygowanie wad
procesów jak też
zapobieganie im z
wykorzystaniem
wyników auditów
wewnętrznych
Proces
Cel procesu
–
–
–
–
bazy danych
system komunikacji wewnętrznej
elastyczność procesów
kwalifikacje pracowników
Czynniki ryzyka
Procesy tworzące wartość dodaną
wytwórczego
Marketing
Rozpoznawanie potrzeb rynku
budowlanego oraz zachowań
klientów (potrzeb, wymagań,
satysfakcji), a także rynku
dostawców surowców i
materiałów oraz usług. Celem
dodatkowym jest budowanie
dobrego wizerunku
przedsiębiorstwa
–
–
–
–
–
Projektowani Zapewnienie stosowania
e i rozwój
nowoczesnych rozwiązań
produktów
wyrobów i usług, będących w
zakresie działalności
przedsiębiorstwa
–
–
–
–
–
–
–
–
–
Proces
Cel procesu
system informacyjny
zmienność popytu
potencjał rynku
pozycja konkurencyjna
siła oddziaływania środków
promocji
kwalifikacje marketerów
ocena możliwości spełnienia
wymagań klientów
możliwości techniczne
elastyczność linii produkcyjnych
ocena oddziaływania produktów na
środowisko naturalne
dostępność nowoczesnych
technologii
środki finansowe
Czynniki ryzyka
wytwórczego
Planowani
e produkcji
Logistyka
Zapewnienie, że proces
planowania produkcji przebiega
w kontrolowanych warunkach
tak, aby w pełni osiągnąć
zgodność wyrobu/usługi z
wymaganiami uzgodnionymi
pomiędzy klientem a dostawcą
(wewnętrznymi i zewnętrznymi)
–
–
Zapewnienie zakupów, dostaw i
transportu surowców,
materiałów i usług o cechach
spełniających wymagania
poszczególnych procesów
–
–
–
–
–
–
–
–
–
–
–
–
bazy danych — w tym bazy
normatywne niezbędnych zasobów
pracy (robocizny, materiałów, sprzętu)
dokładność w precyzowaniu wymagań
klienta
oszacowanie potrzeb materiałowych
(ilościowe i jakościowe)
stosunki z kontrahentami
zmienność cen materiałów
zmiany warunków dostaw
terminowość dostaw
Zapasy
system kontroli jakości materiałów
przestrzeganie przez dostawców norm
technicznych
awarie maszyn i urządzeń
warunki przechowywania surowców i
wyrobów
18
2015-05-17
Proces
Cel procesu
Czynniki ryzyka
wytwórczego
Wytwarzan Realizacja procesów wyie
twórczych w sposób bezpieczny
wyrobów
dla pracowników i otoczenia, a
także gwarantujący wymaganą
jakość produktów
–
zapewnienie materialnych czynników
produkcji
możliwość naboru pracowników
zaangażowanie pracowników w
wykonywaną pracę
kwalifikacje i doświadczenie
pracowników
awarie maszyn i urządzeń technicznych
bezpieczeństwo osób — bhp
(oświetlenie, hałas, wibracja,
temperatura, czynniki chemiczne,
stres)
zanieczyszczenie środowiska
naturalnego
–
–
–
–
–
–
Obsługa
klienta
Tworzenie wartości dla klienta
przez zapewnienie wysokiej
jakości obsługi we wszystkich
fazach kontaktu z klientem
zewnętrznym
–
–
–
procedury dotyczące spisania umowy
komunikacja i relacje z klientem w
czasie produkcji wyrobu czy
świadczenia usługi
terminowość dostaw
obsługa posprzedażna
kwalifikacje i zaangażowanie
–
–
–
Proces
Cel procesu
Czynniki ryzyka
wytwórczego
Procesy wspomagające
Zarządzanie
Zapewnienie
infrastrukturą poprawnego
techniczną
funkcjonowania
infrastruktury
technicznej w celu
spełniania wymagań
jakości obsługiwanych
procesów
– postęp techniczny
– kradzieże
– zanieczyszczenie środowiska
naturalnego
Zarządzanie
zasobami
ludzkimi
–
–
Proces
Zapewnienie
prawidłowego
dostosowania liczby i
kwalifikacji pracowników
do wypełniania zadań
stanowiskowych
Cel procesu
dobór liczbowy pracowników
kwalifikacje i zaangażowanie
pracowników
rynek pracy
system komunikacji wewnętrznej
–
–
Czynniki ryzyka
wytwórczego
Procesy wspomagające
Nadzór nad
środowiskie
m pracy i
środowiskie
m
naturalnym
Zarządzanie
komunikacją
wewnętrzną
- system
informatyczn
y
Zapewnienie, wymaganego
prawem i dobrem
pracowników, stanu
środowiska pracy,
umożliwiającego poprawne
wykonywanie zadań
produkcyjnych (bhp), a
także minimalizować
zagrożeń dla środowiska
naturalnego oraz
uniezależnienie
–
–
–
narażenia pracowników w
procesie pracy
aktualność stanowiskowych kart
ryzyka zawodowego
zanieczyszczenie środowiska
naturalnego
zmienność wymagań
środowiskowych
polityka środowiskowa państwa
Sprawne zarządzania
komunikacją wewnętrzną
w celu zapewnienia
jednoznaczności wymagań
klientów wewnętrznych i
zewnętrznych
–
–
–
kultura organizacyjna
stabilność kadry
–
–
–
19
Identyfikacja zagrożeń
Identyfikacja zagrożeń
2015-05-17
Aspekt ryzyka
Źródło ryzyka
Techniczny
Własności fizyczne
Własności materiałowe
Własności radiacyjne
Testowanie i modelowanie
Integracja i interfejs
Architektura oprogramowania
Bezpieczeństwo
Zmiany wymogów
Wykrywanie błędów
Środowisko operacyjne
Sprawdzone/niesprawdzon
e
technologie
Złożoność systemu
Rzadkie lub specjalne
zasoby
Programowy
Dostępność materiałów
Dostępność personelu
Umiejętność personelu
Bezpieczeństwo
Zabezpieczenia
Wpływ środowiskowy
Problemy komunikacyjne
Przerwy w pracy
Zmiany wymogów
Wsparcie polityczne
Stabilność kontrahentów
Struktura finansowania
Zmiany regulacyjne
Aspekt ryzyka
Źródło ryzyka
Obsługowy
Niezawodność i
utrzymywalność
Szkolenie i wsparcie szkolenia
Sprzęt
Kwestie dotyczące zasobów
ludzkich
Bezpieczeństwo systemu
Dane techniczne
Udogodnienia
Zgodność operacyjna
Łatwość transportu
Wsparcie zasobów
informatycznych
Pakowanie, przeładunek,
przechowywanie
Kosztowy
Wrażliwość na ryzyko
− Techniczne
− Programowe
− Obsługowe
harmonogramowe
Wielkość kosztów ogólnych
i
kosztów ogólnego zarządu
Błąd szacowania
Harmonogramow
y
− Techniczne
− Programowe
− Obsługowe
kosztowe
Stopień równoczesności
Liczba elementów
tworzących
ścieżkę krytyczną
Błąd szacowania
Metodyka procesu zarządzania ryzykiem
Etapy postępowania
Kolejność etapów
Nazwa etapu
Etap I
Wybór obszaru badawczego
Etap II
Identyfikacja ryzyka
Ustalenie indykatorów
ryzyka
Budowa katalogu ryzyka
Etap III
Ocena ryzyka
Etap IV
Manipulowanie ryzykiem
Możliwe do
wykorzystania metody
lub techniki
Analiza
Kwestionariusz
Wywiad
Metody inwentyczne
Analiza portfelowa:
-analiza orientacji
przedsiębiorstwa
-- arkusz punktowej oceny ryzyka
-- wielostopniowa analiza
portfelowa
-Arkusze szans i ryzyka
Katalog ryzyka
Metody probablistycznostatystyczne
Analiza wrażliwości
Metody scenariuszowe
Analiza profilowa
Metody operacyjne
Unikanie
Redukcja lub eliminacja
Przeniesienie
Podjęcie
20
2015-05-17
Analiza ryzyka
Analiza ryzyka – czynności identyfikacji
(środowiska,
zagrożeń,
podatności,
potencjalnych strat) oraz oszacowania i
oceny ryzyka
Szacowanie ryzyka – metoda częstościowa
Ocena ryzyka
Metody oceny ryzyka:
1.
2.
indeksowa – tzw. metoda częstościowa
ilościowa, gdzie oszacowanie wartości ryzyka wiąże się z
wykorzystaniem miar liczbowych – wartość zasobów informacyjnych
jest określana kwotowo, częstotliwość wystąpienia zagrożenia liczbą
przypadków, a podatność wartością prawdopodobieństwa ich utraty,
3.
jakościowa, gdzie oszacowanie wartości ryzyka wiąże się z:
– opisem jakościowym wartości aktywów, określeniem skal jakościowych
dla częstotliwości wystąpienia zagrożeń i podatności na dane zagrożenie,
albo
– opisem tzw. scenariuszy zagrożeń poprzez przewidywanie głównych
czynników ryzyka, które powodują i wskazują, w jaki sposób system
kontroli wewnętrznej może zostać ominięty przez oszustwo lub
nieszczęśliwy wypadek.
Przykład:
Niech
możliwość
całkowitego
spalenia
serwerowni wynosi raz na 20 lat, a poniesione w
takim przypadku całkowite straty wynoszą 100
tys. zł.
Niech możliwość kradzieży służbowego laptopa
o wartości 10 tys. zł wynosi raz na 2 lata.
Jaka będzie wartość ryzyka?
21
Szacowanie ryzyka - metoda ilościowa
Szacowanie ryzyka - metoda częstościowa
2015-05-17
Przykład:
Niech możliwość całkowitego spalenia serwerowni
wynosi raz na 20 lat, a poniesione w takim przypadku
całkowite straty wynoszą 100 tys. zł.
R = 100 000 x 1/20 = 5 000
Niech możliwość kradzieży służbowego laptopa o
wartości 10 tys. zł wynosi raz na 2 lata.
R = 10 000 x ½ = 5 000
Metoda
ilościowa
oznacza,
że
prawdopodobieństwo
interesującego
zdarzenia wyliczane jest na podstawie
danych statystycznych.
Prawdopodobieństwo w przypadku kradzieży
laptopa na poziomie 0,1 może oznaczać, że
w ciągu 2 lat było 10 prób kradzieży , z
których tylko jedna się powiodła.
Pracownicy pewnej instytucji w trakcie angażowania do pracy
dostają kartę magnetyczną ze zdjęciem, wypisanymi danymi
osobowymi, służbowymi oraz PIN-em. Karta magnetyczna służy
jako przepustka okazywana strażnikowi przy bramie oraz jako
elektroniczny klucz otwierający te drzwi ( i tylko te), które wolno
otworzyć
danemu
pracownikowi.
Hipotetyczny
system
komputerowy jest chroniony następującymi zabezpieczeniami
fizycznymi i programowymi {b1, b2, b4,b4,b5}
1. strażnik przy wejściu do budynku sprawdzający przepustki
(b1),
2. elektroniczne
zabezpieczenia
wejść
(czytnik
karty
magnetycznej + PIN) do korytarzy (b2),
3. elektroniczne zabezpieczenia wejść do pomieszczeń
służbowych (j.w. – b3)
4. elektroniczne zabezpieczenie komputera (b4: czytnik kart _
klawiatura wprowadzania PIN-u)
5. login i hasło (b5) konieczne do uruchomienia sesji.
22
2015-05-17
0,2
Strażnik nie zatrzymał intruza
Strażnik zatrzymał intruza
0,8
Zabezpieczenia korytarza nie
przepuściły intruza
0,7
0,3
Zabezpieczenia korytarza
Zabezpieczenia pomieszczenia
nie przepuściły intruza
0,7
0,3
Zabezpieczenia pomieszczenia
Zabezpieczenia komputera nie
0,7
0,3
Zabezpieczenia komputera
Login i hasło niepoprawne
0,6
0,4
Login i hasło poprawne
Penetracja systemu nie
powiodła się
Zdarzenie inicjujące
(próba fizycznego dostępu do komputera)
Penetracja systemu skuteczna
Nieupoważniona osoba dostała się do komputera i
uruchomiła w nim sesje z uprawnieniami
legalnego użytkownika
P= 0,2 *0,3*0,3*0,3*0,4 = 0,00216
Metody jakościowe oceny ryzyka:
Metoda wstępnej analizy ryzyka i hazardu (PRA/PHA)
Metoda HAZOP
Metoda FMEA
Metoda drzewa błędów FTA
Metoda drzewa zdarzeń ETA
Analiza przyczynowo-skutkowa CCA
Ocena ryzyka
1.
2.
3.
4.
5.
6.
23
FMEA metodyka przeprowadzania analizy
Szacowanie ryzyka - metoda jakościowa
Szacowanie ryzyka - metoda jakościowa
2015-05-17
Założenia:
1. Wartości zasobów zostały ocenione w skali liczbowej od
0 do 4.
2. Zostały wypełnione ankiety, w których każdemu
rodzajowi wcześniej zidentyfikowanego zagrożenia i
każdej grupie zasobów, których dotyczy zagrożenie:
a) Przypisano miarę poziomu zagrożenia w skali (niski,
średni, wysoki)
b) Przypisano miarę poziomu podatności zasobu w
skali (niski, średni, wysoki)
3. Przyjęto arbitralnie punktową skalę miary ryzyka w
postaci liczb całkowitych z przedziału (0-8).
Poziom
zagrożenia
Niski
Poziom
podatności
N
Ś
W
N
Ś
W
N
Ś
W
0
0
1
2
1
2
3
2
3
4
1
1
2
3
2
3
4
3
4
5
2
2
3
4
3
4
5
4
5
6
3
3
4
5
4
5
6
5
6
7
4
4
5
6
5
6
7
6
7
8
Wartość
zasobu
Średni
Wysoki
Definicja celu analizy
Plan działań zaradczych
Powołanie grupy roboczej
Analiza ilościowa –
ponowne szacowanie
czynników ryzyka
Zakres i termin badania
Dekompozycja funkcjonalna
NIE
Zbieranie danych
TAK
Analiza jakościowa wad
Wdrożenie działań
zaradczych
Analiza ilościowa wad
Liczba priorytetowa
R wyższa od
przyjętego poziomu
NIE
Aktualny stan zadowalający
– brak działań zaradczych
Liczba priorytetowa
R mniejsza od
przyjętego poziomu
TAK
NIE
Nadzór nad działaniami
zaradczymi
Wyniki zgodne z
założeniami
TAK
Zakończenie analizy FMEA
24
Przykład FTA
2015-05-17
Powiadomiono
straż pożarną
Zadziałały
zraszacze
Przykład ETA
Przykład ETA
Pożar
Ujawnienie
informacji
poufnych prezesa
25
Wysokie
Szkody
Wysokie szkody w razie
realizacji zagrożenia i niska
możliwość jego realizacji
(średnie ryzyko)
Niskie
Szacowanie ryzyka – mapa ryzyka
2015-05-17
Niskie szkody w razie
realizacji zagrożenia i niska
możliwość jego realizacji
(niskie ryzyko)
Wysokie szkody w razie
realizacji zagrożenia i
wysoka możliwość jego
realizacji
(wysokie ryzyko)
Niskie szkody w razie
realizacji zagrożenia i
wysoka możliwość jego
realizacji
(średnie ryzyko)
Niska
Wysoka
Możliwość realizacji zagrożenia
Bezpieczeństwo i higiena
pracy
Wykłady 2014/2015
Podstawowe definicje:
BHP
Według W. Szuberta, ochrona pracy jest to: system
środków
prawnych,
ekonomicznych,
organizacyjnych
i
technicznych,
służących
zapewnieniu
pracownikom
bezpieczeństwa
i
ochrony zdrowia w procesie pracy, przy czym przez
system należy rozumieć zbiór uporządkowanych
jednostek
tworzących
całość
organizacyjną,
służących jednemu celowi
OCHRONA PRACY – system środków prawnych,
ekonomicznych, organizacyjnych i technicznych
służących
zapewnieniu
pracownikom
bezpieczeństwa i ochrony zdrowia w procesie pracy.
26
2015-05-17
BHP
BEZPIECZEŃSTWO I HIGIENA PRACY – ogół norm
prawnych
oraz
środków
badawczych,
organizacyjnych i technicznych mających na celu
stworzenie pracownikowi takich warunków pracy, aby
mógł on wykonywać pracę w sposób produktywny,
bez narażania go na nieuzasadnione ryzyko wypadku
lub choroby zawodowej oraz nadmierne obciążenie
fizyczne i psychiczne.
PRACOWNIK – osoba zatrudniona napodstawie
umowy o pracę, powołania, wyboru, mianowania lub
spółdzielczej umowy o pracę (art.2 k.p.)
BHP
BHP
PRACODAWCA – jednostka organizacyjna, choćby
nie posiadała osobowości prawnej, a także osoba
fizyczna, jeżeli zatrudnia pracowników (art.3 k.p.).
27
2015-05-17
W systemie zarządzania wdrażanym zgodnie z normą PN-N18001 wymagania przepisów prawa mają wpływ przede
wszystkim na ukształtowanie następujących elementów:






BHP



identyfikacja zagrożeń i ocena ryzyka zawodowego,
struktura, odpowiedzialność i uprawnienia,
szkolenie, świadomość, kompetencje i motywacja,
komunikowanie się, partycypacja pracowników,
dokumentacja systemu zarządzania bezpieczeństwem i
higieną pracy
sterowanie operacyjne pracami i działaniami związanymi
ze znaczącymi zagrożeniami,
gotowość do reagowania na wypadki przy pracy i awarie,
monitorowanie,
zapisy.
PN-N-18001:2004
Systemy
zarządzania
bezpieczeństwem i higieną pracy. Wymagania.
PN-N-18002:2011
Systemy
zarządzania
bezpieczeństwem i higieną pracy. Ogólne wytyczne
oceny ryzyka zawodowego.
PN-N-18004:2001
Systemy
zarządzania
bezpieczeństwem i higieną pracy. Wytyczne.
i
Systemy
zarządzania
higieną pracy. Wytyczne
BHP
PN-N-18011:2006
bezpieczeństwem
auditowania.
Model systemu zarządzania BHP przyjęty w normie
PN-N 18001:2004
Ciągłe
doskonalenie
Przegląd dokonywany
przez kierownictwo
Zaangażowanie
kierownictwa oraz
polityka BHP
BHP
Planowanie
Sprawdzanie oraz
działania korygujące i
zapobiegawcze
Wdrażanie i
funkcjonowanie
28
2015-05-17
Ciągłe
doskonalenie
Zaangażowanie
kierownictwa oraz
polityka BHP
przez kierownictwo
Planowanie
Sprawdzanie oraz
zapobiegawcze
Wdrażanie i
funkcjonowanie
BHP
4.2. Zaangażowanie kierownictwa
oraz polityka BHP
4.2.1. Zaangażowanie najwyższego
kierownictwa
4.2.2 Polityka BHP
4.2.3. Współudział pracowników
Ciągłe
doskonalenie
Zaangażowanie
kierownictwa oraz
polityka BHP
przez kierownictwo
Planowanie
Sprawdzanie oraz
zapobiegawcze
Wdrażanie i
funkcjonowanie
BHP
4.3 Planowanie
4.3.1 Wymagania ogólne
4.3.2 Wymagania prawne i
inne
4.3.3. Cele ogólne i
szczegółowe
4.3.4. Planowanie działań
Ciągłe
doskonalenie
przez kierownictwo
Zaangażowanie
kierownictwa oraz
polityka BHP
Planowanie
BHP
Sprawdzanie oraz
zapobiegawcze
Wdrażanie i
funkcjonowanie
4.4 Wdrażanie i funkcjonowanie
4.4.1 Struktura,
odpowiedzialność i uprawnienia
4.4.2. Zapewnienie zasobów
4.4.3 szkolenie, świadomość,
kompetencje i motywacja
4.4.4. Komunikowanie się
29
2015-05-17
Ciągłe
doskonalenie
przez kierownictwo
Zaangażowanie
kierownictwa oraz
polityka BHP
Planowanie
Sprawdzanie oraz
zapobiegawcze
Wdrażanie i
funkcjonowanie
BHP
4.4.5 Dokumentacja systemu
zarządzania bezpieczeństwem i
higieną pracy
4.4.5.1 Poszanowania ogólne
4.4.5.2. Nadzór nad dokumentami
4.4.5.3 Nadzór nad zapisami
4.4.6 Zarządzanie ryzykiem
zawodowym
4.4.7 Organizowanie zagrożeń
Ciągłe
doskonalenie
Zaangażowanie
kierownictwa oraz
polityka BHP
przez kierownictwo
Planowanie
Sprawdzanie oraz
zapobiegawcze
Wdrażanie i
funkcjonowanie
BHP
4.4.8 Zapobieganie, gotowość i
reagowanie na wypadki i awarie
4.4.9 Zakupy
4.4.10 Podwykonawstwo
Ciągłe
doskonalenie
przez kierownictwo
Zaangażowanie
kierownictwa oraz
polityka BHP
Planowanie
BHP
Sprawdzanie oraz
zapobiegawcze
Wdrażanie i
funkcjonowanie
4.5 Sprawdzanie oraz działania
korygujące
4.5.1. Monitorowanie
4.5.2 Badanie wypadków przy
pracy, chorób zawodowych, zdarzeń
potencjalnie wypadkowych
4.5.3 Audyt
4.5.4 Niezgodności oraz działania
korygujące i zapobiegawcze
30
2015-05-17
Ciągłe
doskonalenie
przez kierownictwo
Zaangażowanie
kierownictwa oraz
polityka BHP
Planowanie
Sprawdzanie oraz
zapobiegawcze
Wdrażanie i
funkcjonowanie
BHP
4.6 Przegląd zarzadzania
4.7. Ciągłe doskonalenie
BHP
PN-N-18001
może
być
stosowana
przez
organizacje, których celem jest:
 wdrożenie, utrzymywanie i doskonalenie
systemu zarządzania bezpieczeństwem i
higieną pracy
 postępowanie zgodne z ustaloną we własnym
zakresie polityką bezpieczeństwa i higieny
pracy
 zadeklarowanie postępowania zgodnego z
wymaganiami tej normy
 dążenie do uzyskania potwierdzenia przez
organizację zewnętrzną zgodność systemu
zarządzania bhp z wymaganiami niniejszej
normy.
BHP
Ryzyko zawodowe – to prawdopodobieństwo
wystąpienia niepożądanych zdarzeń związanych z
wykonywaną pracą powodujących
straty w
szczególności
wystąpienia
u
pracowników
niekorzystnych skutków zdrowotnych w wyniku
zagrożeń zawodowych w środowisku pracy lub
sposobu wykonywania pracy
31
Norma 18002:2000
Norma 18002:2000
BHP
2015-05-17
Do identyfikacji zagrożeń, a następnie oceny ryzyka
zawodowego
wykorzystywane
są
informacje
dotyczące:
1. lokalizacji stanowiska pracy i realizowanych na
nim zadań
2. osób pracujących na tym stanowisku
3. stosowanych środków, materiałów i operacji
technologicznych
4. wykonywanych czynności oraz sposobu i czasu
ich wykonywania
5. wymagań przepisów i norm dotyczących
stanowiska pracy
6. zidentyfikowanych zagrożeń
7. możliwych skutków występujących zagrożeń
8. stosowanych środków ochronnych
9. wypadków przy pracy oraz chorób zawodowych
Źródłami tych informacji mogą być:
• dane techniczne o stosowanych na stanowisku
maszynach i urządzeniach:
• dokumentacja techniczno-ruchowa i instrukcje
stanowiskowe,
• wyniki pomiarów czynników szkodliwych i/lub
niebezpiecznych,
a
także
uciążliwych,
występujących na stanowisku pracy,
• dokumentacja dotycząca wypadków przy pracy,
zdarzeń potencjalnie wypadkowych, chorób
zawodowych oraz awarii,
• przepisy prawne i inne dokumenty normatywne,
• literatura naukowo-techniczna,
• karty charakterystyk substancji chemicznych itp.
Informacji o analizowanym stanowisku mogą
dostarczyć również:
• obserwacja środowiska pracy,
• obserwacja
zadań
wykonywanych
na
stanowisku pracy,
• obserwacja
zadań
wykonywanych
poza
stanowiskiem pracy,
• wywiady z pracownikami,
• obserwacja czynników zewnętrznych, które
mogą wpłynąć na stanowisko pracy (np. prace
wykonywane przez pracowników na innych
stanowiskach pracy, czynniki atmosferyczne),
• analiza organizacji działań, których celem jest
zapewnienie właściwych warunków pracy.
32
2015-05-17
Metodę przeprowadzenia analizy ustala zespól oceniający
ryzyko zawodowe.
Norma 18002:2000
Do oceny stanu faktycznego pracodawca powinien
prowadzić wcześniej następujące rejestry (katalogi),
które pozwalają na ocenę tegoż stanu i identyfikację
zagrożeń:
1. rejestr pomiarów czynników szkodliwych i
niebezpiecznych na stanowiskach pracy, na
których takie czynniki występują przy czym dla
każdego wytypowanego stanowiska powołany jest
oddzielny rejestr. Rejestry te powinny być
przechowywane przez 40 lat, mają one postać
odpowiednich formularzy że wskazaniem: czasu,
miejsca, rodzaju pomiaru i osoby dokonującej
pomiaru. Jeżeli czynnikami szkodliwymi są
czynniki rakotwórcze wówczas należy prowadzić
rejestr tych czynników oraz rejestr pracowników
narażonych na działanie tych czynników.
BHP
Na etapie identyfikacji przydatna jest przede wszystkim
dotychczasowa wiedza na temat zagrożeń występujących na
analizowanym stanowisku. W każdym przypadku zaleca się
sprawdzić, czy wszystkie zagrożenia zostały zidentyfikowane i
czy dostępne na ich temat informacje (jak np. wyniki pomiarów
i obliczeń wartości wielkości charakteryzujących zagrożenie)
są wystarczające do oceny ryzyka zawodowego.
BHP
Do identyfikacji zagrożeń można zastosować metodę list
kontrolnych, które mogą być opracowywane na przykład z
wykorzystaniem wykazów czynników szkodliwych i/lub
niebezpiecznych, zawartych w odpowiednich przepisach i
normach. W niektórych przypadkach może się okazać
potrzebne przyjęcie bardziej zaawansowanych metod
identyfikacji zagrożeń.
2. rejestr wypadków przy pracy zawierający:
1. nazwiska poszkodowanych
2. opis wypadków
3. skutki dla poszkodowanego w wypadku przy
pracy
4. świadczenia,
które
przysługują
poszkodowanemu z tytułu wypadku przy pracy
(unormowane w Kodeksie Pracy)
5. miejsce i data wypadku
3. rejestr chorób zawodowych zawiera zarówno
stwierdzone, jak i przypuszczalne przypadki chorób
zawodowych oraz ich skutków. W rejestrze tym
powinny się znajdować:
1. nazwiska chorych
2. rodzaj choroby zawodowej
3. wyniki postępowania
4. skutki choroby zawodowej
33
2015-05-17
4. dokumentacja związana z eksploatacją obiektu,
gdzie zostało zlokalizowane stanowisko pracy, w
której odnotowywane są okresowe wyniki kontroli
stanu sprawności technicznej (budynku i instalacji) –
na ogół raz na trzy miesiące
BHP
Konieczne jest również posiadanie dokumentacji
związanej z samym procesem technologicznym,
maszynami i urządzeniami oraz materiałami
stosowanymi w produkcji.
Norma 18002:2011
Ogólne zasady przygotowania oceny ryzyka
zawodowego
Zaleca
się
przeprowadzać
ocenę
ryzyka
zawodowego okresowo i zawsze wówczas, gdy
wykorzystywane do jego oceny informacje straciły
swoją
aktualność,
a
w
szczególności
w
następujących sytuacjach:
• przy tworzeniu nowych stanowisk pracy,
• przy wprowadzaniu zmian na stanowiskach pracy
(np. technologicznych lub organizacyjnych),
• po
zmianie
obowiązujących
wymagań,
odnoszących się do ocenianych stanowisk pracy.
• po wprowadzeniu zmian w stosowanych środkach
ochronnych.
Schemat oceny ryzyka zawodowego oraz wynikających z
niej działań
1.Zebranie informacji potrzebnych do oceny ryzyka zawodowego
2.Identyfikacja zagrożeń
3.Oszacowanie ryzyka zawodowego
Norma 18002:2000
4.Wyznaczanie dopuszczalności ryzyka zawodowego
5.Czy są potrzebne działania korygujące i/lub zapobiegawcze
6.Opracowanie planu działań korygujących i/lub zapobiegawczych
7.Okresowe przeprowadzanie oceny ryzyka zawodowego
8.Realizacja planu
34
2015-05-17
Norma 18002:2000
Oszacowanie
ryzyka
zawodowego
związanego
poszczególnymi
zagrożeniami
zidentyfikowanymi
stanowiskach pracy polega na ustaleniu:
• prawdopodobieństwa wystąpienia zagrożeń,
• ciężkości szkodliwych następstw tych zagrożeń.
z
na
Oszacowanie ryzyka zawodowego można przeprowadzać w
różny sposób, w zależności od potrzeb organizacji. Zaleca się
przede wszystkim takie sposoby szacowania ryzyka
zawodowego, których stosowanie nie wymaga wiedzy
specjalistycznej i które mogą być w prosty sposób
wykorzystywane przez osoby przeprowadzające oceny.
Równocześnie istotne jest, aby otrzymane wyniki oszacowania
były
w pełni
wystarczające
do
wyznaczenia
jego
dopuszczalności i właściwego planowania działań korygujących
i zapobiegawczych.
Tablica 1 - Oszacowanie ryzyka zawodowego w skali trójstopniowej
Ciężkość następstw
Prawdopodobieństwo
Mała
Norma 18002:2011
Mało prawdopodobne
Prawdopodobne
Wysoce
prawdopodobne
małe
Średnia
Duża
małe
średnie
1
1
2
małe
średnie
duże
1
2
3
średnie
duże
duże
2
3
3
Tablica 1 - Oszacowanie ryzyka zawodowego w skali pięciostopniowej
Ciężkość następstw
Prawdopodobieństwo
Mała
Norma 18002:2011
Mało prawdopodobne
Prawdopodobne
Wysoce
prawdopodobne
bardzo małe
Średnia
Duża
małe
średnie
1
2
3
małe
średnie
duże
2
3
4
średnie
duże
bardzo duże
3
4
5
35
2015-05-17
Przy oszacowaniu ryzyka zawodowego zgodnie z tablicami 1 i 2 ciężkość
szkodliwych następstw zagrożenia i prawdopodobieństwo ich wystąpienia można
określić stosując niżej wymienione wskazówki:
•
do następstw o małej szkodliwości zalicza się te urazy i choroby, które nie
powodują długotrwałych dolegliwości i absencji w pracy; są to czasowe
pogorszenia stanu zdrowia, takie jak niewielkie stłuczenia i zranienia,
podrażnienia oczu, objawy niewielkiego zatrucia, bóle głowy itp.
do następstw o średniej szkodliwości zalicza się te urazy i choroby, które
powodują niewielkie, ale długotrwałe lub nawracające okresowo dolegliwości i
są związane z okresami absencji; są to np. zranienia, oparzenia II stopnia na
niewielkiej powierzchni ciała, alergie skórne, nieskomplikowane złamania,
zespoły przeciążeniowe układu mięśniowo-szkieletowego (np. zapalenie
ścięgna) itp.,
do następstw o dużej szkodliwości zalicza się te urazy i choroby, które
powodują ciężkie i stale dolegliwości i/lub śmierć: są to np. oparzenia III
stopnia, oparzenia II stopnia dużej powierzchni ciała, amputacje,
skomplikowane złamania z następową dysfunkcją, choroby nowotworowe,
toksyczne uszkodzenia narządów wewnętrznych i układu nerwowego w
wyniku narażenia na czynniki chemiczne, zespół wibracyjny, zawodowe
uszkodzenia słuchu, astma, zaćma itp.
Norma 18002:2011
•
•
•
•
Norma 18002:2011
•
do mało prawdopodobnych zalicza się te następstwa
zagrożeń, które nie powinny wystąpić podczas całego
okresu aktywności zawodowej pracownika,
do prawdopodobnych zalicza się te następstwa zagrożeń,
które mogą wystąpić nie więcej niż kilkakrotnie podczas
okresu aktywności zawodowej pracownika,
do wysoce prawdopodobnych zalicza się te następstwa
zagrożeń, które mogą wystąpić wielokrotnie podczas okresu
aktywności zawodowej pracownika,
Tam, gdzie jest to możliwe, zaleca się oszacować ryzyko
zawodowe na podstawie wartości wielkości charakteryzujących
narażenie.
Tablica 3 - Ogólne zasady oszacowania ryzyka zawodowego w
skali trójstopniowej na podstawie wartości wielkości
charakteryzujących narażenie
Norma 18002:2011
Wartość wielkości
charakteryzującej
narażenie (P)
Oszacowanie ryzyka
zawodowego
P> Pmax
duże
Pmax > P > 0,5 Pmax
średnie
P < 0,5 Pmax
małe
UWAGA - P max - wartość dopuszczalna wielkości charakteryzującej narażenie, ustalana na ogół na
podstawie
odpowiednich przepisów (może to być odpowiednia wartość NDS - najwyższego dopuszczalnego
stężenia lub
NDN -najwyższego dopuszczalnego natężenia). W przypadku braku ustalonych wymagań przy jej
ustalaniu
można wykorzystać opinie ekspertów i/lub wziąć pod uwagę opinie pracowników,
36
2015-05-17
Norma 18002:2011
Wyznaczenie dopuszczalności ryzyka zawodowego
Podstawowym kryterium dopuszczalności ryzyka zawodowego
są wymagania odpowiednich przepisów prawnych i innych
dokumentów normatywnych. W przypadku braku takich
wymagań , zaleca się, aby organizacje ustalały własne kryteria
dopuszczalności ryzyka zawodowego z uwzględnieniem opinii
ekspertów z dziedziny bezpieczeństwa i higieny pracy,
własnych doświadczeń, oraz opinii pracowników i/lub ich
przedstawicieli, Dążąc do poprawy warunków pracy,
organizacje
mogą
również
ustalać
własne
kryteria
dopuszczalności ryzyka zawodowego, oparte na wymaganiach
wyższych niż wymagania przepisów prawnych i innych
dokumentów normatywnych,
Tablica 4 - Ogólne zasady wyznaczania dopuszczalności ryzyka
zawodowego oraz zalecenia dotyczące działań wynikających z oceny
tego ryzyka (oszacowanie w skali trójstopniowej)
Oszacowanie ryzyka
zawodowego
Norma 18002:2011
Duże
Dopuszczalność
ryzyka
zawodowego
Niezbędne działania
niedopuszczalne
Jeżeli ryzyko zawodowe jest związane z pracą
już wykonywaną, działania w celu jego
zmniejszenia należy podjąć natychmiast (np.
przez zastosowanie środków ochronnych).
Planowana praca nie może być rozpoczęta do
czasu zmniejszenia ryzyka zawodowego do
poziomu dopuszczalnego.
Zaleca się zaplanowanie i podjęcie działań,
których celem jest zmniejszenie ryzyka
zawodowego.
Średnie
dopuszczalne
Małe
Konieczne jest zapewnienie. że ryzyko
zawodowe pozostaje co najwyżej na tym samym
poziomie.
Tablica 5 - Ogólne zasady wyznaczania dopuszczalności ryzyka
zawodowego oraz zalecenia dotyczące działań wynikających z
oceny tego ryzyka (oszacowanie w skali pięciostopniowej)
Oszacowanie
ryzyka
zawodowego
Dopuszczalność
ryzyka
zawodowego
Praca nie może być rozpoczęta ani kontynuowana do
czasu zmniejszenia ryzyka zawodowego do poziomu
dopuszczalnego.
Bardzo duże
Norma 18002:2011
Niezbędne działania
Duże
Jeżeli ryzyko zawodowe jest związane z pracą już wykonywaną.
działania w celu jego zmniejszenia należy
podjąć natychmiast (np. przez zastosowanie środków
ochronnych). Planowana praca nie może być rozpoczęta do czasu
zmniejszenia ryzyka zawodowego do poziomu dopuszczalnego.
Średnie
Zaleca się zaplanowanie i podjęcie działań, których celem jest
zmniejszenie ryzyka zawodowego.
niedopuszczalne
Małe
Bardzo małe
dopuszczalne
Zaleca się rozważenie możliwości dalszego zmniejszania poziomu
ryzyka zawodowego lub zapewnienie. że
ryzyko zawodowe pozostaje najwyżej na tym samym
poziomie.
Nie jest konieczne prowadzenie żadnych działań.
37
2015-05-17
Działania wynikające z oceny ryzyka zawodowego
Norma 18002:2011
Norma 18002:2011
Wyniki oceny ryzyka zawodowego stanowią podstawę
planowania działań korygujących i zapobiegawczych na
stanowiskach pracy.
Przy planowaniu i podejmowaniu działań korygujących lub
zapobiegawczych w celu eliminacji lub ograniczenia zagrożeń i
związanego z nimi ryzyka zawodowego, zaleca się stosować
środki ochronne w następującej kolejności:
1. środki techniczne eliminujące lub ograniczające zagrożenia u
źródła;
2. środki ochrony zbiorowej;
3. środki organizacyjne i proceduralne (procedury lub instrukcje
bezpiecznej pracy);
4. środki ochrony indywidualnej.
PRZYKŁAD
Przy pracach w wykopach jednym z zagrożeń jest zasypanie pracownika.
Skutkiem takiego zdarzenia może być śmierć. Pracownik sporadycznie
pracuje w głębokich wykopach. W ciągu ostatnich 10 lat w zakładzie
nie zdarzył się taki wypadek.
Szacowanie parametrów ryzyka:
• ciężkość następstw: duża szkodliwość - śmierć,
• prawdopodobieństwo następstw: mało prawdopodobne –
następstwa zagrożenia, które nie powinno wystąpić podczas całego
okresu aktywności zawodowej pracownika.
Wartościowanie ryzyka:
Na przecięciu wartości (tablica 4 – skala trójstopniowa) poziomo
„mało prawdopodobne” i pionowo „szkodliwość duża” otrzymujemy
wartość ryzyka „ryzyko średnie” – dopuszczalne.
Działania profilaktyczne:
Dla ryzyka średniego o poziomie dopuszczalnym zaleca się zaplanowanie i
podjęcie działań, których celem jest zmniejszenie ryzyka zawodowego.
ZachodniopomorskiUniwersytet
Uniwersytet Technologiczny
Technologiczny wwSzczecinie
Zachodniopomorski
Szczecinie
WydziałInżynierii
Inżynierii Mechanicznej
Mechanicznej i Mechatroniki
Wydział
i Mechatroniki
Zarządzanie bezpieczeństwem
bezpieczeństwo wyrobu
dr inż. Agnieszka Terelak-Tymczyna
38
2015-05-17
Ogólne bezpieczeństwo produktu
Akty prawne dotyczące ogólnego
bezpieczeństwa produktu:
Dyrektywa 2001/95/WE - Ogólne bezpieczeństwo produktu
Ustawa z dnia 12 grudnia 2003 r. o ogólnym
bezpieczeństwie produktów (Dz. U. Nr 229, poz. 2275, z
późn. zm.)
Niniejszą dyrektywę stosuje się w odniesieniu do wszystkich
produktów. Każdy z jej przepisów stosuje się w przypadku
braku przepisów szczególnych ustawodawstwa Wspólnoty,
regulujących
bezpieczeństwo
danych
produktów.
W przypadku gdy produkty podlegają szczególnym
wymogom związanym z bezpieczeństwem, narzuconym
przez ustawodawstwo wspólnotowe, niniejszą dyrektywę
stosuje się wyłącznie w odniesieniu do aspektów i zagrożeń
lub kategorii zagrożeń nieobjętych tymi wymogami.
Ustawa z dnia 12 grudnia 2003 r. o ogólnym
bezpieczeństwie produktów (Dz. U. Nr 229, poz. 2275, z
późn. zm.)
Ustawa
określa
ogólne
wymagania
dotyczące
bezpieczeństwa produktów, obowiązki producentów i
dystrybutorów w zakresie bezpieczeństwa produktów oraz
zasady i tryb sprawowania nadzoru w celu zapewnienia
bezpieczeństwa produktów wprowadzanych na rynek.
39
2015-05-17
Ustawę stosuje się do:
1. produktów, dla których przepisy odrębne nie określają szczegółowych
wymagań dotyczących bezpieczeństwa;
2. zagrożeń związanych z produktami, dla których przepisy odrębne
określają szczegółowe wymagania dotyczące bezpieczeństwa, jeżeli
zagrożenia te nie są objęte przez przepisy odrębne.
3. w odniesieniu do produktów, dla których przepisy odrębne określają
szczegółowe wymagania dotyczące bezpieczeństwa - w zakresie, w
jakim nie regulują tego przepisy odrębne
4. Przepisów ustawy nie stosuje się do urządzeń używanych w celu
świadczenia usług na rzecz konsumentów, w szczególności do
urządzeń obsługiwanych przez usługodawcę, którymi konsumenci
przemieszczają się lub podróżują.
Definicje:
produkt - rzecz ruchomą nową lub używaną, jak i
naprawianą lub regenerowaną przeznaczoną do użytku
konsumentów lub co do której istnieje prawdopodobieństwo,
że może być używana przez konsumentów, nawet jeżeli nie
była dla nich przeznaczona, dostarczaną lub udostępnianą
przez producenta lub dystrybutora, zarówno odpłatnie, jak i
nieodpłatnie, w tym również w ramach świadczenia usługi;
produktem nie jest rzecz używana dostarczana jako antyk
albo jako rzecz wymagająca naprawy lub regeneracji przed
użyciem, o ile dostarczający powiadomił konsumenta o tych
właściwościach rzeczy;
producent:
a) przedsiębiorcę prowadzącego na terytorium Rzeczypospolitej
Polskiej lub w Unii Europejskiej działalność polegającą na
wytwarzaniu produktu albo każdą inną osobę, która występuje jako
wytwórca, umieszczając na produkcie bądź do niego dołączając
swoje nazwisko, nazwę, znak towarowy bądź inne odróżniające
oznaczenie, a także osobę, która naprawia lub regeneruje produkt,
b) przedstawiciela wytwórcy, a jeżeli wytwórca nie wyznaczył
przedstawiciela - importera produktu, w przypadkach gdy wytwórca
nie prowadzi działalności na terytorium Rzeczypospolitej Polskiej ani
w Unii Europejskiej,
c) przedsiębiorcę uczestniczącego w dowolnym etapie procesu
dostarczania lub udostępniania produktu, jeżeli jego działanie może
wpływać
na
właściwości
produktu
związane
z
jego
bezpieczeństwem;
40
2015-05-17
dystrybutor - przedsiębiorcę uczestniczącego w
dowolnym etapie procesu dostarczania lub
udostępniania produktu, którego działalność nie
wpływa na właściwości produktu związane z jego
bezpieczeństwem;
wypadek konsumencki - zaistniałe w związku z
używaniem produktów zdarzenie nagłe, którego
następstwem jest zgon albo uszkodzenie ciała
wymagające udzielenia pomocy medycznej, w
szczególności skaleczenie, zatrucie, oparzenie,
ugryzienie lub użądlenie;
wprowadzenie na rynek - dostarczanie lub
udostępnianie przez producenta lub dystrybutora produktu
dystrybutorowi lub konsumentowi;
wprowadzenie na rynek polski - dostarczenie lub
udostępnienie produktu po raz pierwszy na terytorium
Rzeczypospolitej Polskiej
41
2015-05-17
Produktem bezpiecznym jest produkt, który w zwykłych lub
w innych, dających się w sposób uzasadniony przewidzieć,
warunkach jego używania, z uwzględnieniem czasu
korzystania z produktu, a także, w zależności od rodzaju
produktu, sposobu uruchomienia oraz wymogów instalacji i
konserwacji, nie stwarza żadnego zagrożenia dla
konsumentów lub stwarza znikome zagrożenie, dające się
pogodzić z jego zwykłym używaniem i uwzględniające
wysoki poziom wymagań dotyczących ochrony zdrowia i
życia ludzkiego.
Przy ocenie bezpieczeństwa produktu uwzględnia się:
1. cechy produktu, w tym jego skład, opakowanie, instrukcję montażu i
uruchomienia, a także - biorąc pod uwagę rodzaj produktu instrukcję instalacji i konserwacji;
2. oddziaływanie na inne produkty, jeżeli można w sposób uzasadniony
przewidzieć, że będzie używany łącznie z innymi produktami;
3. wygląd produktu, jego oznakowanie, ostrzeżenia i instrukcje
dotyczące jego użytkowania i postępowania z produktem zużytym
oraz wszelkie inne udostępniane konsumentowi wskazówki lub
informacje dotyczące produktu;
4. kategorie konsumentów narażonych na niebezpieczeństwo w
związku z używaniem produktu, w szczególności dzieci i osoby
starsze.
Produkt, który nie spełnia
bezpiecznym.
ww. wymagań, nie jest produktem
Do stwierdzenia, że produkt nie jest bezpieczny, nie wystarcza
możliwość osiągnięcia wyższego poziomu bezpieczeństwa lub
dostępność innych produktów stwarzających mniejsze zagrożenia dla
konsumentów.
Przy dokonywaniu oceny, czy produkt stwarza poważne zagrożenie,
przez które rozumie się wymagające natychmiastowych działań
naruszenie wymagań bezpieczeństwa, uwzględnia się bezpośrednie
lub odsunięte w czasie skutki używania produktu, w tym stopień i
prawdopodobieństwo utraty zdrowia lub życia przez konsumentów,
stopień narażenia poszczególnych kategorii konsumentów oraz
możliwość prawidłowej oceny ryzyka przez konsumentów i możliwości
jego uniknięcia.
42
2015-05-17
W przypadku gdy brak jest szczegółowych przepisów
Wspólnoty Europejskiej dotyczących bezpieczeństwa
określonego produktu, produkt wprowadzony na rynek polski
uznaje się za bezpieczny, jeżeli spełnia określone odrębnymi
przepisami polskimi szczegółowe wymagania dotyczące
bezpieczeństwa produktów.
Domniemywa się, że produkt zgodny z normami
zharmonizowanymi w rozumieniu przepisów o systemie
oceny zgodności jest produktem bezpiecznym w zakresie
wymagań objętych tymi normami.
W przypadku braku przepisów lub norm zharmonizowanych, albo jeżeli produkt
nie jest zgodny z normami zharmonizowanymi, bezpieczeństwo produktu ocenia
się w szczególności z uwzględnieniem:
1. spełniania przez produkt dobrowolnych norm krajowych państw
członkowskich Unii Europejskiej przenoszących normy europejskie, innych niż
normy zharmonizowane w rozumieniu przepisów o systemie oceny
zgodności;
2. spełniania przez produkt Polskich Norm;
3. zaleceń Komisji Europejskiej określających wskazówki co do oceny
bezpieczeństwa produktu;
4. obowiązujących w danym sektorze zasad dobrej praktyki odnoszących się do
bezpieczeństwa produktów;
5. aktualnego stanu wiedzy i techniki;
6. uzasadnionych oczekiwań konsumentów co do bezpieczeństwa produktu.
Spełnianie przez produkt powyższych wymagań, nie
wyłącza możliwości stosowania środków określonych
ustawą, jeżeli organ nadzoru stwierdzi, że pomimo
zgodności z tymi wymaganiami produkt nie jest
bezpieczny.
43
2015-05-17
Obowiązki producenta:
Producent jest zobowiązany wprowadzać na rynek wyłącznie produkty
bezpieczne. W zakresie prowadzonej działalności, jest zobowiązany
dostarczać konsumentom informacje:
1. umożliwiające im ocenę zagrożeń związanych z produktem w czasie
zwykłego lub możliwego do przewidzenia okresu jego używania, jeżeli
takie zagrożenia nie są, przy braku odpowiedniego ostrzeżenia,
natychmiast zauważalne;
2. dotyczące możliwości przeciwdziałania tym zagrożeniom.
Ponadto zobowiązany jest podejmować działania odpowiednie do
właściwości dostarczanego produktu:
• umożliwiające uzyskiwanie przez tego producenta wiedzy o
zagrożeniach, które produkt może stwarzać;
• mające na celu uniknięcie zagrożeń, w tym - o ile jest to niezbędne umożliwiające wycofanie produktu z rynku, właściwe i skuteczne
ostrzeżenie konsumentów lub wycofanie produktu od konsumentów.
Działania, te mogą w szczególności polegać na:
 umieszczeniu na produkcie lub jego opakowaniu nazwy i
adresu producenta oraz oznaczenia identyfikującego
produkt lub, w razie potrzeby, partię produktu, chyba że
nieumieszczenie takich informacji jest uzasadnione;
 przeprowadzaniu badań próbek wprowadzonych na rynek
produktów, analizowaniu skarg konsumentów oraz, w miarę
potrzeby, prowadzeniu rejestru tych skarg oraz bieżącym
informowaniu dystrybutorów o prowadzonej w ten sposób
kontroli.
Obowiązki dystrybutora:
Dystrybutor jest zobowiązany działać z należytą
starannością
w
celu
zapewnienia
bezpieczeństwa
produktów, w szczególności przez niedostarczanie
produktów, o których wie lub o których, zgodnie z
posiadanymi informacjami i doświadczeniem zawodowym,
powinien wiedzieć, że nie spełniają one wymagań
bezpieczeństwa. Jest zobowiązany uczestniczyć w
monitorowaniu bezpieczeństwa produktów wprowadzonych
na rynek
44
2015-05-17
Organem
sprawującym
nadzór
nad
ogólnym
bezpieczeństwem produktów w zakresie określonym ustawą
jest
Prezes
Urzędu
Ochrony
Konkurencji
i
Konsumentów, który wykonuje swoje zadania przy pomocy
Inspekcji Handlowej.
W przypadku stwierdzenia, że produkt nie jest bezpieczny, organ
nadzoru w drodze decyzji:
1. w przypadku produktów, które nie zostały wprowadzone na rynek:
a. nakazuje wyeliminowanie zagrożeń stwarzanych przez produkt,
b. zakazuje wprowadzania produktu na rynek i nakazuje podjęcie
czynności niezbędnych do zapewnienia przestrzegania tego
nakazu;
2. w przypadku produktów wprowadzonych na rynek, nakazuje:
a. wyeliminowanie zagrożeń stwarzanych przez produkt,
b. natychmiastowe wycofanie produktu z rynku,
c. ostrzeżenie konsumentów, określając termin i formę ostrzeżenia,
d. wycofanie produktu od konsumentów i jego zniszczenie
Wycofanie produktu z rynku polega na odebraniu przez
producenta produktu od dystrybutorów oraz zakazaniu
prezentowania i oferowania przez dystrybutorów takiego
produktu konsumentom.
Wycofanie produktu od konsumentów i jego zniszczenie
może zostać nakazane wyłącznie w przypadku, gdy inne
działania byłyby niewystarczające dla zapobieżenia
poważnym zagrożeniom powodowanym przez produkt.
45
2015-05-17
Konsumentowi będącemu w posiadaniu produktu, w
odniesieniu do którego wydano decyzję nakazującą
wycofanie od konsumentów, przysługuje roszczenie o
odkupienie produktu za kwotę, za jaką produkt został nabyty,
bez względu na stopień jego zużycia.
Roszczenie to przysługuje konsumentowi:
1. wobec dystrybutora, od którego konsument nabył
produkt, o ile konsument posiada dowód zakupu
produktu;
2. wobec producenta produktu, jeżeli konsument nie
dysponuje dowodem zakupu.
Kto, w związku z prowadzoną działalnością,
wprowadza na rynek produkty niespełniające
wymagań bezpieczeństwa, podlega:
• grzywnie,
• karze ograniczenia wolności albo
• pozbawienia wolności do roku.
Jeżeli sprawca
grzywnie.
działa
nieumyślnie,
podlega
Bezpieczeństwo wyrobu
Znak „B”
czy
Oznaczenie „CE”
46
2015-05-17
Znak
bezpieczeństwa
„B”
jest
znakiem dobrowolnym, producent nie
ma obowiązku umieszczania tego znaku
na swoich wyrobach.
Oznaczenie
„CE”
jest
znakiem
obowiązkowym, jeśli wyrób podlega
jednej z dyrektyw unijnych.
Znak
B
umieszczony
na
wyrobie:
stanowi dla klienta i sprzedawcy informację, że
bezpieczeństwo wyrobu zostało potwierdzone przez
niezależną od producenta jednostkę oceniającą,
świadczy o tym, że wyrób spełnia wymagania
określone przez krajowe i europejskie standardy i
przepisy prawne.
Znak B stanowi dla konsumenta istotną gwarancję
bezpieczeństwa, ponieważ w procesie oceny
bierze
udział
niezależna
jednostka
o
potwierdzonych kompetencjach, a oceny,
według
określonej
procedury,
dokonują
niezależni od producenta eksperci.
Badaniu podlega nie tylko wyrób gotowy ale także
proces produkcji co gwarantuje, że produkt będzie
miał
takie
same właściwości,
gwarantuje
niezmienność jakości produktu.
47
2015-05-17
Znak bezpieczeństwa B jest potwierdzeniem, że
dany wyrób, używany zgodnie z zasadami
określonymi przez producenta, nie stanowi
zagrożenia dla życia, zdrowia, mienia i środowiska.
Korzyści wynikające ze stosowania znaku B:
•
•
•
potwierdzenie bezpieczeństwa użytkowania wyrobu i
stabilności jego produkcji przez niezależną, znaną na
rynku unijnym jednostkę certyfikującą (oceniającą),
wzrost zaufania klientów krajowych i zagranicznych do
wyrobu,
gwarancja dla konsumentów, że zakupiony towar jest w
najwyższym stopniu bezpieczny.
Oznakowanie CE jest formą deklaracji producenta,
że jego wyrób spełnia wymagania wszystkich
mających do niego zastosowanie dyrektyw Nowego
Podejścia.
O ile dyrektywy nie przewidują inaczej, oznakowanie
CE jest obowiązkowe i musi być umieszczone na
wyrobie, zanim zostanie on wprowadzony na rynek
lub oddany do użytku.
48
2015-05-17
Oznakowanie CE symbolizuje zgodność ze wszystkimi
wymaganiami nałożonymi na wytwórcę wyrobu poprzez
dyrektywy wymagające takiego
znakowania.
Jeśli
oznakowanie jest umieszczone na wyrobie, stanowi
deklarację osoby fizycznej lub prawnej (nanoszącej lub
odpowiedzialnej za jego naniesienie), że wyrób jest zgodny
ze wszystkimi mającymi do niego odniesienie wymaganiami
oraz że został poddany właściwym procedurom oceny
zgodności. Dlatego też państwa członkowskie nie mogą
ograniczać dostępu do rynku i zezwalania na eksploatację
wyrobom oznakowanym CE, jeśli nie można udowodnić, że
wyrób nie spełnia postawionych mu warunków.
Oznakowanie CE jest obowiązkowe i musi być umieszczone
zanim wyrób zostanie wprowadzony na rynek, chyba że
konkretna dyrektywa stanowi inaczej.
Jeśli wyrób podlega kilku dyrektywom, z których każda
wymaga umieszczenia oznakowania CE, oznakowanie to
oznacza, że wyroby są zgodne ze wszystkimi wymaganiami
tych dyrektyw.
Wyrób nie może być oznakowany symbolem CE, jeśli nie jest
objęty żadną dyrektywą, która wymaga jego umieszczenia
Znak CE musi być umieszczony przez producenta lub upoważnionego
przedstawiciela ustanowionego na terytorium Wspólnoty.
Jeśli z różnych względów oznakowanie musi zostać powiększone lub zmniejszone,
należy zachować odpowiednie proporcje. Znak CE umieszczony na samym
wyrobie lub na tabliczce znamionowej musi znajdować się w widocznym miejscu,
być czytelny i nieusuwalny. Jeśli jest to niemożliwe lub nie może być
zagwarantowane ze względu na rodzaj wyrobu, oznakowanie CE powinno być
umieszczone na opakowaniu (jeżeli takie istnieje) oraz w dołączonych do wyrobu
dokumentach (jeżeli odpowiednia dyrektywa wymaga takich dokumentów).
Jeżeli w fazę kontroli produkcji zaangażowana jest jednostka notyfikowana, jej
numer identyfikacyjny powinien być umieszczony za oznakowaniem CE. Numer
jednostki notyfikowanej musi być umieszczony na odpowiedzialność tej jednostki
przez producenta lub jego upoważnionego przedstawiciela
49
2015-05-17
Oznakowanie
CE
jest
jedynym
oznakowaniem
symbolizującym wypełnienie przez producenta wyrobu
wszystkich ciążących na nim obowiązków, wynikających z
dyrektyw przewidujących oznakowanie CE i mających
zastosowanie do tego wyrobu. Państwa członkowskie winny
powstrzymać się od wprowadzania do swoich przepisów
jakichkolwiek odniesień do innych oznaczeń zgodności niż
oznakowanie CE, które byłyby sprzeczne z zadaniami
oznakowania CE.
Wyrób może posiadać dodatkowe oznakowania i
znaki, jeśli:
1. pełnią one inną funkcję niż oznakowanie CE;
2. nie będą mylone ze znakiem CE;
3. nie ograniczają czytelności i widoczności
oznakowania CE.
Zgodnie z dyrektywami Nowego Podejścia producentem jest
osoba
odpowiedzialna
za
zaprojektowanie
i
wyprodukowanie wyrobu z zamiarem wprowadzenia go na
rynek pod własnym nazwiskiem lub pod własną nazwą.
Odpowiedzialność producenta ciąży również na każdej
osobie fizycznej lub prawnej, która składa, pakuje,
przetwarza lub etykietuje gotowe wyroby z zamiarem
umieszczenia ich na rynku Wspólnoty pod własnym
nazwiskiem lub własną nazwą. Co więcej, odpowiedzialność
producenta dotyczy każdego, kto zmienia przeznaczenie
wyrobu w taki sposób, że zachodzi potrzeba dostosowania
się do innych wymagań zasadniczych, lub też tego, kto
istotnie modyfikuje lub odnawia wyrób (tworzy więc nowy
wyrób) z zamiarem wprowadzenia go na rynek Wspólnoty.
50
2015-05-17
Aktywne implanty medyczne
Active implantable medical devices Aktywny implantowany wyrób medyczny
oznacza każdy aktywny wyrób medyczny, przeznaczony do wprowadzania do
ciała ludzkiego oraz częściowo wprowadzone do ciała drogą zabiegu
chirurgicznego lub poprzez interwencję medyczną do otworu naturalnego i
przeznaczony do pozostawania w nim po zakończeniu procedury
Dźwigi
Lifts Dźwig oznacza urządzenie obsługujące określone poziomy, posiadające
kabinę poruszającą się wzdłuż prowadnic, które są sztywne, nachylone pod
kątem większym niż 15o do poziomu i przeznaczone do transportu osób, osób i
towarów, włącznie towarów, jeśli kabina jest dostępna (to znaczy, jeśli osoba
może wejść do niej bez trudności) i wyposażona w urządzenia sterujące
umieszczone wewnątrz kabiny lub w zasięgu osoby będącej wewnątrz.
Kompatybilność elektromagnetyczna
Electromagnetic compatibility (EMC) Niniejsza Dyrektywa dotyczy urządzeń,
które mogą powodować zakłócenia elektromagnetyczne lub na których
działanie mogą mieć wpływ takie zakłócenia.
Maszyny
Machinery Maszyna oznacza zestaw połączonych wzajemnie części lub
podzespołów, z których przynajmniej jeden jest ruchomy, przy czym
odpowiednie człony wykonawcze, obwody sterowania i zasilania itp., połączone
są w całość dla wykonania konkretnej czynności, szczególnie dla
przetwarzania, obróbki, przemieszczania lub pakowania materiałów.
Materiały wybuchowe do użytku cywilnego
Explosives for civil uses Materiały wybuchowe oznaczają materiały i artykuły
uważane za takie przez zalecenia Organizacji Narodów Zjednoczonych
dotyczące transportu towarów niebezpiecznych oraz należące do klasy 1
określonej w tych zaleceniach.
Nieautomatyczne urządzenia ważące
Non-automatic weighing instruments Waga jest to przyrząd pomiarowy służący
do określenia masy ciała przez wykorzystanie działania na to ciało siły
grawitacji. Waga może także służyć do określania innych, związanych z masą
wielkości, ilości, parametrów albo właściwości. Waga nieautomatyczna jest to
waga, wymagająca interwencji operatora podczas ważenia.
51
2015-05-17
Niskonapięciowe wyroby elektryczne
Low voltage electrical equipment (LVD) Sprzęt elektryczny oznacza każdy
sprzęt przeznaczony do użytku przy napięciu w zakresie pomiędzy 50 V i 1000
V prądu przemiennego oraz pomiędzy 75 V i 1500 V prądu stałego
Proste zbiorniki ciśnieniowe
Simple pressure vessels Niniejsza dyrektywa dotyczy prostych zbiorników
ciśnieniowych wytwarzanych seryjnie. Prosty zbiornik ciśnieniowy oznacza
dowolny zbiornik spawany podlegający nadciśnieniu wewnętrznemu większemu
niż 0,5 bar, przeznaczony do przechowywania powietrza lub azotu i nie
przeznaczony do ogrzewania płomieniem.
Sprawność energetyczna chłodziarek i zamrażarek
Energy efficiency for electric refrigerators and freezers Dyrektywa "Sprawność
energetyczna chłodziarek i zamrażarek" odnosi się do nowych chłodziarek,
urządzeń przechowalniczych i zamrażarek do użytku domowego i ich
zestawów, zasilanych z sieci energetycznej.
Sprawność energetyczna kotłów wodnych
Energy efficiency of hot water boilers Dyrektywa "Sprawność energetyczna
kotłów wodnych" ustala wymagania w odniesieniu do sprawności nowych
kotłów wodnych grzewczych opalanych paliwami ciekłymi lub gazowymi,
których moc nominalna jest nie mniejsza niż 4 kW i nie większa niż 400 kW.
Sprawność energetyczna stabilizatorów do oświetlenia jarzeniowego
Energy efficiency requirements for ballasts for fluorescent lighting Niniejsza
dyrektywa ma zastosowanie do zasilanych z sieci elektrycznej stabilizatorów dla
źródeł światła jarzeniowego (zgodnie z określeniem podanym w Normie
Europejskiej
EN
50294
z
grudnia
1998
r.,
punkt
3.4)
Nie są objęte niniejszą dyrektywą następujące rodzaje stabilizatorów:
stabilizatory wbudowane w lampach, stabilizatory zaprojektowane specjalnie do
opraw oświetleniowych, przeznaczonych do montażu w meblach, stanowiące
niewymienialną część oprawy oświetleniowej, która nie może być badana
oddzielnie od oprawy (zgodnie z Normą Europejską EN 60920, klauzula 2.1.3), i
stabilizatory przeznaczone na eksport poza Wspólnotę, albo jako samodzielne
elementy, albo wbudowane w oprawy oświetleniowe.
Środki ochrony indywidualnej
Personal protective equipment (PPE) Środki ochrony indywidualnej - urządzenia lub
wyposażenie przeznaczone do noszenia bądź trzymania przez użytkownika tych
środków, w celu jego ochrony przed jednym lub większą liczbą zagrożeń, które
mogą mieć wpływ na jego bezpieczeństwo i zdrowie podczas wykonywania
czynności, jak również wszelkie akcesoria i dodatki przeznaczone do tego celu.
Urządzenia do użytku w atmosferach wybuchowych
Equipment for use in explosive atmospheres Niniejsza dyrektywa ma zastosowanie
do urządzeń i systemów ochronnych, przeznaczonych do użytku w przestrzeniach
zagrożonych wybuchem oraz urządzeń zabezpieczających, sterujących i
regulacyjnych przeznaczonych do użytku na zewnątrz przestrzeni zagrożonych
wybuchem, lecz które są wymagane lub przyczyniają się do bezpiecznego
funkcjonowania urządzeń i systemów ochronnych wobec zagrożeń wybuchowych.
Urządzenia ciśnieniowe
Pressure equipment Dyrektywa "Urządzenia ciśnieniowe" odnosi się do
projektowania, wytwarzania i oceny zgodności urządzeń ciśnieniowych i ich
zespołów, dla których najwyższe dopuszczalne ciśnienie PS jest większe niż 0,5
bara.
52
2015-05-17
Urządzenia gazowe
Gas appliances W zakresie dyrektywy "Urządzenia gazowe" znajdują się:
urządzenia spalające paliwa gazowe używanych do gotowania, ogrzewania,
przygotowywania gorącej wody, chłodzenia, oświetlenia lub prania, w których - w
odpowiednich przypadkach - temperatura wody nie przekracza 105 oC, zwanych
dalej "urządzeniami". Za urządzenia uważa się również palniki z wymuszonym
ciągiem oraz urządzenia grzewcze przeznaczone do wyposażenia w takie palniki,
urządzenia zabezpieczające, urządzenia sterujące lub urządzenia regulacyjne i
podzespoły, oprócz palników z wymuszonym ciągiem i urządzeń grzewczych
przeznaczonych do wyposażenia w takie palniki, umieszczanych na rynku
oddzielnie w celach handlowych i zaprojektowanych w celu wbudowania do
urządzenia spalającego paliwo gazowe lub zmontowania w celu stworzenia
takiego urządzenia.
Zabawki
Toys Zabawka oznacza dowolny produkt lub materiał zaprojektowany lub wyraźnie
przewidziany do używania w czasie zabawy przez dzieci do 14 lat.
Urządzenia medyczne
Medical devices Urządzenie medyczne oznacza dowolny przyrząd, aparat,
urządzenie, materiał lub inny artykuł, stosowany samodzielnie lub w połączeniu,
obejmujący oprogramowanie niezbędne do jego właściwego zastosowania
zamierzonego przez wytwórcę, który ma być używany dla istot ludzkich w celu:
diagnozy, prewencji, monitorowania leczenia lub złagodzenia choroby,
diagnozy, monitorowania, leczenia, łagodzenia lub rekompensaty zranienia albo
upośledzenia; badania, wymiany lub zmiany anatomii lub procesu
fizjologicznego; kontroli urodzin
Urządzenia diagnostyczne in vitro
In vitro diagnostic medical devices Wyrób medyczny do diagnostyki in vitro wyrób medyczny będący odczynnikiem, produktem odczynników, wzorcem
odniesienia, materiałem kontrolnym, zestawem, przyrządem, sprzętem lub
systemem stosowanym samodzielnie lub w połączeniu, przeznaczonym przez
wytwórcę do stosowania in vitro, w celu badania próbek pobranych z organizmu
ludzkiego, włączając próbki krwi i tkanek. Do wyrobów medycznych do
diagnostyki in vitro zalicza się także pojemniki na próbki.
Urządzenia linowe do przewozu osób
Cableway installations for persons Urządzenia linototorowe do przewozu osób są to
wszelkie urządzenia, które są projektowane, wytwarzane, montowane i użytkowane
w celu transportu osób. Urządzenia te wykorzystują elementy nośne albo
mechanizmy do ciągnięcia, przy czym elementem zapewniającym zawieszenie i/lub
trakcję jest lina ułożona w osi ruchu.
Wyposażenie radiowe i terminali telekomunikacyjnych
Radio and telecommunications terminal equipment Niniejsza dyrektywa odnosi się
do urządzeń końcowych. Urządzenie końcowe oznacza urządzenie przeznaczone
do podłączenia do sieci telekomunikacji publicznej, tj.: do podłączenia
bezpośredniego do końcówki sieci telekomunikacji publicznej lub do współpracy z
publiczną siecią telekomunikacyjną dołączoną bezpośrednio lub pośrednio do
końcówki sieci telekomunikacji publicznej w celu nadawania, przetwarzania lub
odbierania informacji. System połączeń może być kablowy, radiowy, optyczny lub
inny elektromagnetyczny,
Wyroby budowlane
Construction products Wyrób budowlany oznacza każdy wyrób wyprodukowany w
celu wbudowania go na stałe w obiekty budowlane obejmujące zarówno budynki,
jak i budowle inżynierskie.
53
2015-05-17
Ustawa z dnia 30 sierpnia 2002 r. o systemie oceny zgodności (Dz. U. z 2004
r. Nr 204, poz. 2087 j.t., z późn. zm.).
85/374/EWG - Odpowiedzialność za produkt niebezpieczny
98/34/WE - Procedura informowania w zakresie norm i przepisów technicznych
2001/95/WE - Ogólne bezpieczeństwo produktu
2002/49/WE - Ocena i zarządzanie poziomem hałasu w środowisku
2009/105/WE (przedtem: 87/404/EWG - Proste zbiorniki ciśnieniowe (SPVD))
89/106/EWG - Wyroby budowlane (CPD)
89/686/EWG - Środki ochrony indywidualnej (PPED)
90/396/EWG - Urządzenia gazowe (GAD)
92/42/EWG - Efektywność energetyczna kotłów (BED)
94/9/WE - Atmosfery wybuchowe (ATEX)
95/16/WE - Dźwigi (Lifts)
97/23/WE - Urządzenia ciśnieniowe (PED)
2006/42/WE - Maszyny (MD) (z dniem 29.12.2009 r. zastąpiła dyrektywę
98/37/WE)
2004/108/WE - Kompatybilność elektromagnetyczna (EMC) (z dniem 20.07.2007
zastąpiła dyrektywę 89/336/EWG)
2006/95/WE - Niskie napięcia (LVD) (z dniem 16.01.2007 r. zastąpiła dyrektywę
73/23/WE)
Bezpieczeństwo informacji
Wykłady 2014/2015
Wraz ze wzrostem znaczenia informacji we
współczesnym świecie oraz z rozwojem
technik przetwarzania informacji istotnym
zagadnieniem w dzisiejszym świecie jest
zapewnienie bezpieczeństwa informacji.
Informacje będące w posiadaniu firm i
urzędów posiadają swoją realną wartość i
mogą być podatne na zagrożenia takie jak,
np.: kradzież, zniszczenie czy zafałszowanie.
54
2015-05-17
Ustawa o ochronie danych osobowych.
Ustawa o ochronie informacji niejawnych.
Ustawa o
publicznej.
dostępie
do
informacji
Ustawa o prawie autorskim i prawach
pokrewnych.
Rodzina norm z serii 27000
PN-ISO/IEC 27001:2014 - Technika informatyczna -Techniki
bezpieczeństwa - Systemy zarządzania bezpieczeństwem
informacji - Wymagania.
bezpieczeństwa – Praktyczne zasady zabezpieczania
informacji
bezpieczeństwa -Zarządzanie ryzykiem w bezpieczeństwie
informacji
PN-ISO/IEC 27006:2009 -Technika informatyczna - Techniki
bezpieczeństwa -Wymagania dla jednostek prowadzących
audyt i certyfikację systemów zarządzania bezpieczeństwem
informacji
Poszczególne rozdziały normy poświęcone są
takim zagadnieniom, jak:
1. Polityka bezpieczeństwa;
2. Organizacja bezpieczeństwa informacji;
3. Zarządzanie aktywami;
4. Bezpieczeństwo zasobów ludzkich;
5. Bezpieczeństwo fizyczne i środowiskowe;
6. Zarządzanie systemami i sieciami;
7. Kontrola dostępu;
8. Zarządzanie ciągłością działania;
9. Pozyskiwanie, rozwój i utrzymanie systemów
informatycznych;
10. Zarządzanie incydentami związanymi z
bezpieczeństwem informacji;
11. Zgodność z wymaganiami prawnymi i własnymi
standardami.
55
2015-05-17
Planuj - ustanowienie SZBI - ustanowienie
polityki SZBI, celów, procesów i procedur
istotnych dla zarządzania ryzykiem oraz
doskonalenia bezpieczeństwa informacji tak,
aby uzyskać wyniki zgodne z ogólnymi
politykami i celami organizacji.
Wykonuj - wdrożenie i eksploatacja SZBI wdrożenie i eksploatacja polityki SZBI,
zabezpieczeń, procesów i procedur.
Sprawdzaj - monitorowanie i przegląd SZBI pomiar wydajności procesów w odniesieniu do
polityki SZBI, celów i doświadczenia praktycznego
oraz dostarczania raportów kierownictwu do
przeglądu.
Działaj - utrzymanie i doskonalenie SZBI podejmowanie
działań
korygujących
i
zapobiegawczych
na
podstawie
wyników
wewnętrznego
auditu
SZBI
i
przeglądu
realizowanego przez kierownictwo lub innych
istotnych informacji, w celu zapewnienia ciągłego
doskonalenia SZBI.
Poza zdefiniowaniem modelu zarządzania
bezpieczeństwem informacji, norma PNISO/IEC 27001 zawiera opis zabezpieczeń,
które należy stosować w celu ograniczenia
ryzyka (Załącznik A, Tablica A.1). Załącznik A
jest obligatoryjny.
56
PN-ISO/IEC
17799:2007
Technika
informatyczna -Techniki bezpieczeństwa Praktyczne
zasady
zarządzania
bezpieczeństwem informacji. Norma ta
zawiera zestaw najlepszych praktyk, które
można zastosować w organizacji w celu
podniesienia
poziomu
bezpieczeństwa
informacji.
Norma ISO/IEC w odróżnieniu od norm z
serii ISO TR 13335
(polski odpowiednik PN-I-13335-1:1999
Technika informatyczna -Wytyczne do
zarządzania bezpieczeństwem systemów
informatycznych - Pojęcia i modele
bezpieczeństwa
systemów
informatycznych)
nie dotyczy tylko i wyłącznie zagadnień
teleinformatycznych, lecz obejmuje także
inne obszary takie jak bezpieczeństwo
osobowe i fizyczne.
2015-05-17
Właściwości ( atrybuty) bezpieczeństwa wg PN-13335-1
Określenie
Poufność
Właściwość zapewniająca, że informacja nie jest udostępniana lub
ujawniana nieautoryzowanym osobom, podmiotom lub procesom
Autentyczność
Właściwość zapewniająca, że tożsamość podmiotu lub zasobu jest taka
jak deklarowana; dotyczy użytkowników, procesów, systemów lub
nawet instytucji; autentyczność jest związana z badaniem, czy ktoś lub
coś jest tym lub czym za kogo lub za co się podaje
Nazwa
Dostępność
Właściwość bycia dostępnym i możliwym do wykorzystania na żądanie
w założonym czasie przez kogoś lub coś, kto lub co ma do tego prawo
Integralność
danych
Właściwość zapewniająca, że dane nie zostały zmienione lub
zniszczone w sposób nieautoryzowany
Integralność
systemu
Właściwość polegająca na tym, że system realizuje swoją zamierzoną
funkcję w nienaruszony sposób, wolny od nieautoryzowanej
manipulacji, celowej lub przypadkowej
Integralność
Integralność danych oraz integralność systemu
Rozliczalność
Właściwość zapewniająca, że działania podmiotu mogą być
jednoznacznie przypisane tylko temu podmiotowi
Niezawodność
Właściwość oznaczająca spójne, zamierzone zachowanie i skutki
57
2015-05-17
Korzyści
1. bezpieczeństwo
wszystkich
informacji
korporacyjnych, zwiększenie wartości firmy
2. jasne określenie uprawnień i odpowiedzialności
pracowników
3. realizacja celów firmy poprzez eliminowanie
zagrożeń
4. zagwarantowanie kontrahentom, powierzającym
certyfikowanym
organizacjom
swoje
dane/informacje, że są one bezpieczne
5. pełna integracja z systemem zarządzania
jakością i informatycznym w firmie
1. poufność - daje gwarancję, że informacje
są dostępne tylko i wyłącznie dla
autoryzowanych osób - pracowników,
posiadających prawo dostępu do danych
2. integralność
zabezpiecza
ona
dokładność i kompletność zarówno
informacji, jak też i stosowanych metod jej
ochrony
3. dostępność - gwarancja, że użytkownicy
posiadający stosowne uprawnienia mają
stały
dostęp
do
informacji
i
zgromadzonych zasobów.
Polityka bezpieczeństwa informacji
Jest to zbiór spójnych, precyzyjnych i
zgodnych z obowiązującym prawem
przepisów, reguł i procedur, według
których
dana
organizacja
buduje,
zarządza oraz udostępnia zasoby i
systemy informacyjne i informatyczne.
Określa ona, które zasoby i w jaki sposób
mają być chronione.
58
2015-05-17
Powinna obejmować wskazanie możliwych
rodzajów naruszenia bezpieczeństwa (jak np.
utrata danych, nieautoryzowany dostęp),
scenariusze postępowania w takich sytuacjach i
działania, które pozwolą uniknąć powtórzenia
się danego incydentu. Polityka bezpieczeństwa
definiuje ponadto poprawne i niepoprawne
korzystanie z zasobów (np. kont użytkowników,
danych, oprogramowania).
Projektując mechanizmy ochrony informacji należy określić
następujące elementy:
•
model bezpieczeństwa
•
mechanizmy kontroli dostępu
•
poziomy uprawnień (jakie poziomy uprawnień istnieją i
jakie są zasady ich przyznawania)
•
mechanizmy identyfikacji i zapewnienie autentyczności
(na poziomie fizycznym i systemów)
•
śledzenie
zdarzeń
w
systemie
(jakie
mechanizmy/programy/procedury stosowane są do
śledzenia zmian w systemach)
Do podstawowych
zaliczamy:
•
•
•
•
•
•
•
elementów
polityki
bezpieczeństwa
Zabezpieczenia lokalizacyjne,
Zabezpieczenie sprzętowe (serwer i stacje robocze),
Zabezpieczenia programowe,
Analiza architektury sieci lokalnej,
Archiwizacja danych,
Kontrola dostępu do systemu (system haseł i praw),
Szkolenia użytkowników systemu.
59
2015-05-17
Zabezpieczenia lokalizacyjne
Pod pojęciem zabezpieczenia lokalizacyjne rozumieć należy:
 Lokalizację serwerów: bazy danych, plików, aplikacji
(pomieszczenie przestronne, wentylowane, ognioodporne, itp.),
 Usytuowanie stacji roboczych,
 Dostęp tylko osób upoważnionych
Zabezpieczenie sprzętowe
Zabezpieczenia sprzętowe stanowią jeden z
podstawowych elementów polityki bezpieczeństwa
przedsiębiorstwa.
Najważniejszym
obiektem
zabezpieczeń jest serwer danych.
Podstawowym zabezpieczeniem sprzętowym jest
zagregowanie dysków w macierz dyskową RAID
(Redundant Array of Inexpensive Disks), co
umożliwia ochronę pamięci masowej przed awarią
dysku, a tym samym stanowi to ochronę przed utratą
danych.
Zabezpieczenie programowe
Zabezpieczenia programowe zorientowane są głównie na
zapewnienie wysokiego poziomu ochrony: infrastruktury
teleinformatycznej,
przetwarzanych
i
przechowywanych
informacji, treści pochodzących z Internetu.
Do podstawowych zabezpieczeń programowych zaliczamy:
•
•
•
•
Systemy Firewall (ang. ściana ogniowa)
Systemy przeciwdziałania włamaniom
Detection System)
Systemy kontroli treści (www , e- mail)
Systemy antywirusowe
IDS
(Intrusion
60
2015-05-17
Analiza architektury sieci lokalnej
Schemat architektury sieci lokalnej przy wykorzystaniu
sieci pośredniczącej
Archiwizacja danych
Archiwizacja danych jest jednym z podstawowych zadań jakie
powinno być realizowane przez administratora systemu
informatycznego. Kopia bezpieczeństwa umożliwia odtworzenie
danych w razie uszkodzenia sprzętu, kradzieży, pożaru, itp.
Dlatego zaleca się wykonywanie archiwizacji codziennie.
Archiwizacja może być wykonywana na różnego rodzaju
nośnikach:
• Magnetycznym,
• Magnetooptycznym,
• Optycznym.
Kontrola dostępu do systemu
W wielu systemach operacyjnych istnieje standardowe
oprogramowanie służące do uwierzytelniania użytkowników.
Najczęściej spotykane metody wykorzystują hasła.
Ponadto dostęp do Zintegrowanego Informatycznego Systemu
Zarządzania powinien wymagać osobnego logowania.
Oprócz haseł w systemach stosowane mogą być inne sposoby
zabezpieczenia przed nielegalnym dostępem. Należą do nich:
•
•
•
•
•
Automatyczne kończenie sesji roboczej użytkownika w
przypadku długiego okresu braku sygnałów z terminala
świadczących o pracy,
Blokowanie konta, do którego wykonano wiele kolejnych
nieudanych prób dostępu,
Prowadzenie historii haseł i uniemożliwienie ponownego
używania hasła wykorzystanego w przeszłości,
Blokowanie konta, na którym nie pracowano dłuższy okres
czasu,
Wymuszenie zmiany hasła co określony czas.
61
2015-05-17
Szkolenia użytkowników systemu
Użytkownicy systemu IT odgrywają kluczową rolę w zachowaniu
bezpieczeństwa tego systemu oraz danych przedsiębiorstwa.
Dlatego podstawową rolą administratora w zakresie bezpieczeństwa
systemu
informatycznego
jest zorganizowanie
szkoleń dla
użytkowników dotyczących prawidłowego i bezpiecznego korzystania z
systemu IT oraz możliwych zagrożeń.
Przyczyny awarii systemów IT
Źródło: opracowanie dr hab. P. Bała, Uniwersytet Mikołaja Kopernika w Toruniu, 2005 r.
Obowiązki
informacji
administratora
bezpieczeństwa
Do głównych obowiązków administratora bezpieczeństwa informacji
zgodnie z treścią zawartą w §3 rozporządzenia MSWiA z dnia 3 czerwca
1998 r należy:
•
Zabezpieczenie i kontrola pomieszczeń, w których przetwarzane są dane
osobowe,
Zapewnienie awaryjnego zasilania komputerów oraz innych urządzeń
mających wpływ na bezpieczeństwo przetwarzania danych,
Dopilnowanie, aby komputery przenośne, w których przetwarzane są dane
osobowe zabezpieczone były hasłem dostępu przed nieautoryzowanym
uruchomieniem oraz nie były udostępniane osobom nieupoważnionym,
Nadzór nad naprawami, konserwacją oraz likwidacją urządzeń
komputerowych,
Nadzór nad przeglądami, konserwacjami oraz uaktualnieniami systemów
służących do przetwarzania danych osobowych oraz wszystkimi innymi
czynnościami wykonywanymi na bazach danych osobowych,
•
•
•
•
Obowiązki
informacji
•
•
•
•
administratora
bezpieczeństwa
Nadzór nad systemem komunikacji w sieci komputerowej oraz
przesyłaniem danych za pośrednictwem urządzeń teletransmisji,
Dopilnowanie, aby ekrany monitorów stanowisk komputerowych,
na których przetwarzane są dane osobowe, automatycznie się
wyłączały po upływie
ustalonego czasu nieaktywności
użytkownika,
Dopilnowanie pomieszczeń, w których znajdują się monitory
stanowisk dostępu do danych osobowych i ustawienie w sposób
aby uniemożliwić osobom niepowołanym wgląd w dane,
Podjęcie
działań
zabezpieczających
stan
systemu
informatycznego w przypadku otrzymania informacji o naruszeniu
zabezpieczeń systemu
informatycznego lub informacji o
zmianach w sposobie działania programu lub urządzeń
wskazujących na naruszenie bezpieczeństwa danych.
62
2015-05-17
Wybrane metody i
wspomagające:
1.
komputerowe
narzędzia
Metodyka opracowana w instytucie NIST (National Institute
of Standards and Technology)
2.
3.
4.
5.
6.
7.
8.
9.
Metodyka szacowania zagrożeń i ryzyka (TRA)
opracowana w CSE (Communications Security Establishment)
Metodyka CORA i komputerowe narzędzia wspierające
Metodyka i oprogramowanie CRAMM
Oprogramowanie COBRA
Metoda IRIS
Oprogramowanie RiskPAC
Oprogramowanie ASSET
i in.
63

Zarządzanie bezpieczeństwem - Zachodniopomorski Uniwersytet

Transkrypt

Podobne dokumenty

SZKOLENIE Nowoczesne zarządzanie w obszarze HSEQ – jakość

P O Ś W I A D C Z E N I E B E Z P I E C Z E Ń S T W A

Edukacja zdrowotna z bhp

Bezpieczeństwo informacji – wdrożenie, certyfikacja i

ASG(dotyczy GR-2, GP-2, GH-2)

Zobacz

ASG(dotyczy ED-60, ED-20, GD-10)

Spis treści

Bezpieczeństwo zakładu pracy i BHP