Hozzáadott érték a "Lean and Rank" ellenőrzések révén - Minőségi Ausztria

A külső ellenőrzések fenntartható előnyeinek megszerzéséhez elengedhetetlen a megfelelő ellenőrzési előkészítés. A folyamatok ésszerűsítése, az intézkedések hatékonysága és a rendszer kiegyensúlyozott karcsúsága a tanúsítás, a megújítás és a felügyelet ellenőrzésének központi fókuszpontja lehet. Két tapasztalt auditor az ISO 9001 minőségirányítási, az ISO 27001 információbiztonsági és az ISO 20000 informatikai szolgáltatás menedzsment területén kiemeli a "DOs és DON`T" elemeket az audit előkészítésében.

érték

Miss Dr. Stoll, hogyan változott az ellenőrzési gyakorlat azáltal, hogy homogén struktúrákat vezettek be az ISO irányítási szabványokba?

Dr. Stoll: Az új harmonizált standard modell szerint - ez vonatkozik az információbiztonsági ISO 27001-re és az új ISO 9001: 2015-re - az ellenőrzések inkább a szervezet és az érintettek stratégiai érdekeire összpontosítanak. Tehát nemcsak a szokásos követelmények teljesülését kell ellenőrizni, hanem mindenekelőtt a vállalat fenntartható fejlődését szolgáló intézkedések megfelelőségét és hatékonyságát. Fontos szerepet játszanak az ügyfelek és a tulajdonosok érdekei, a piaci helyzet, a környezeti és társadalmi szempontok, a technológiai fejlesztések és az új megfelelési követelmények, a kapcsolódó lehetőségekkel és kockázatokkal. Mindezt most jobban figyelembe kell venni az ellenőrzések során.

Hogyan hozhat létre a menedzsment hozzáadott értéket a célzott audit előkészítéssel?

Dr. Stoll: A könyvvizsgálóval közös audittervezés során az ellenőrizendő prioritásokat stratégiai szempontok szerint határozzák meg. A szervezet célzottan felhasználhatja az auditorok know-how-ját és az ellenőrzési jelentésekből származó visszajelzéseket, például:

  • belsőleg a fejlesztésre szoruló szempontok, például a folyamatoptimalizálás előmozdítása,
  • a belső tudáscsere elősegítése,
  • A megváltozott piaci helyzetek kiigazításának megkérdőjelezése,
  • hogy ellenőrizzék a fontos ügyfélprojekteket,
  • Ellenőrizze az új stratégiák szisztematikus és hatékony végrehajtását.

A napi gyakorlatból milyen példákat tudna megnevezni?

Dr. Stoll: A külső ellenőrzés nagyon jól felhasználható a menedzsment és az alkalmazottak meggyőzésére a változásokról. Ha bizonyos lehetőségeket kifejezetten megemlítenek egy ellenőrzési jelentésben, ez gyakran elképesztő dinamikát teremt a megvalósításhoz. Célszerű ellenőrizni az újonnan bevezetett irányelveket is. Egyszer bemutattak egy koncepciót a régi számítógépek cseréjére, ideértve az ISO 27001 vonatkozó szempontjait, például a szoftverek terjesztését és az adatok törlését. Az audit visszajelzéseknek köszönhetően a teljes cserét jelentősen optimalizálni lehet. Van értelme a kritikus ügyfélprojekteket kifejezetten bevonni az auditokba. Ily módon esetenként az ügyfelek által végzett további ellenőrzések menthetők el, és a fontos szerződéses követelményeknek való megfelelést független harmadik felek ellenőrzik. A folyamatos továbbfejlesztés a megváltozott helyzetekre való reagálás során kulcsfontosságú audit: az ISO 27001 rendszerek esetében ez a megfelelés, a big data, a BYOD (Bring Your Own Device) vagy a kiberbiztonság, az ISO 20000 rendszereknél a felhőbiztonság és az ISO 9001 például folyamatoptimalizálás, kockázatalapú gondolkodás, tudásmenedzsment.

Filacchione úr, hogyan kellene kezelnie a rendszer gyenge pontjait?

Ing. Filacchione: Az ellenőrzés megfelelő előkészítésének középpontjában a kölcsönös nyitottság és a bizalom áll. Ha a minősítendő szervezetek el akarják rejteni gyengeségeiket, egy tapasztalt könyvvizsgáló előbb-utóbb felfedezi őket - de a bizalom alapja akkor sérült. Ezért ésszerűbb az ellenőrzés megtervezésekor elég nyíltan foglalkozni a rendszer gyenge pontjaival, és célzottan ellenőrizni őket, hogy hasznos fejlődési lehetőségeket teremtsenek.

Mennyire időigényes az ellenőrzés előkészítése?

Ing. Filacchione: „Régi kezek” - vagyis azok az ügyfelek, akiknek már kiforrott rendszere van, már nem sokat készülnek. Már megvannak az áttekintéseik, a folyamatos fejlesztési folyamatok és a szükséges dokumentumok. Természetesen másképp néz ki az első tanúsítással. A szakaszos felülvizsgálat, mint önkéntes előzetes értékelés, és a kötelező 1. szakasz audit, amelyben ellenőrzik a dokumentumok elérhetőségét, jó felkészülést nyújtanak a tanúsítási auditra. Ideális esetben a könyvvizsgáló és az ügyfél közötti közös ellenőrzési tervezésnek körülbelül 4 héttel a tanúsítási audit előtt, valamint minden egyes ellenőrzési és megújítási audit előtt kell megtörténnie, amelynek során az ügyfélnek magának kell meghatároznia az ellenőrzés fókuszát. Minél kiforrottabb a rendszer, annál jobban képes a könyvvizsgáló ellenőrizni a projekteket a szervezet, a stratégia, a kockázatok és lehetőségek, az érdekelt felek orientációja, valamint a folyamatok hatékonysága, hatékonysága és egyszerűsítése összefüggésében, a puszta szabványoknak való megfelelésen túl.

A kezdőknek - áttekintést adhat a szükséges dokumentumokról?

Ing. Filacchione: Igen, ezek megtalálhatók a harmonizált szabványszerkezet egyes fejezeteiben. E sorrend szerint a következő tartalmú dokumentált információknak kell rendelkezésre állniuk:

  • A szervezet kontextusa
  • Vezetés és politika
  • A politika tervezése és végrehajtása. Az ISO 27001 szerint ez magában foglalja a teljes kockázatkezelést, mint a megfelelő intézkedések alapját.
  • Támogató folyamatok - az emberekre és a kommunikációra összpontosítva Működés: A termékekkel és szolgáltatásokkal, folyamatokkal, partnerekkel stb. Szemben támasztott követelmények. Az ISO 27001 szabványban a kockázatkezelés operatív kezelését ismertetjük itt.
  • A teljesítmény értékelése (ISO 27001), beleértve a belső ellenőrzést és a vezetői felülvizsgálatot
  • A rendszer folyamatos fejlesztése

Mi a gyakori hiba a dokumentumok létrehozásakor?

Ing. Filacchione: A paradigma alapvetően megváltozott: A múltban a könyvvizsgálókat átfogó kézikönyvek, folyamatok és irányelvek nyűgözték le. Ma ennek az ellenkezője igaz: a szabvány előírja, hogy ellenőrizzük a dokumentált információk hasznosságát, eredményességét és hatékonyságát. Nem szabad olyan hegyeket előállítani, amelyeket senki sem olvas el. A lényeg: A szervezetnek mindig meg kell kérdeznie magától, hogy mely dokumentumok szükségesek a vállalat céljainak és eredményeinek eléréséhez.

És mely hibák hajlamosak kúszni a folyamatba?

Ing. Filacchione: Az emberi lény általában bizonyos jelentőségre törekszik. Az alkalmazottaknak néha saját "folyamatuk" van. Itt világosan meg kell különböztetni: Mire van szükséged dokumentált folyamatra, mire elegendő egy útmutató vagy belső információ? Egy útmutató meghatározza a folyamatokat anélkül, hogy tárolni kellene a kulcsfigurákat. Egy folyamat viszont összetett eljárásokat térképez fel, több területre kiterjed, és kulcsfigurák segítségével mérhetőnek kell lennie. Találtam egy példát egy viszonylag felesleges folyamatra évekkel ezelőtt egy nagy szervezetnél, ahol a HR "nyaralási igénylési folyamatot" hajtott végre.

Ideális esetben felülről lefelé irányuló ellenőrzést hajtanak végre - mit jelent ez?

Ing. Filacchione: Ez azt jelenti, hogy a könyvvizsgáló először olyan pontokat vizsgál meg, mint a szervezet kontextusa, a vállalati célok és a megvalósítási stratégia, vagy az ISO 27001 esetében a kívánt biztonsági szintet a vezetőséggel, majd az egész rendszert azzal méri, hogy a megvalósított intézkedések e cél érdekében működnek-e. A kezdeti igazolások esetében a megvalósított irányítási rendszer általában csak részben felel meg a felső vezetés elképzeléseinek, mivel gyakran túl kevés a sasszem, és az érintettek néha elvesznek a részletekben. A szakaszos felülvizsgálat, az önkéntes előzetes értékelés során a könyvvizsgáló időben felhívhatja a figyelmet a céloktól való eltérésekre, a párhuzamosságokra és a túlzott részletességre. A szakaszvizsgálat vagy a hiányelemzés előnye, hogy a tanúsítási auditban részt vevők nagyon nyugodtak, mert a neuralgikus pontokat már ellenőrizték és kijavították.

Milyen általános tippet ad az előnyorientált ellenőrzési folyamathoz?

Ing. Filacchione: Minden folyamathoz meg kell határozni egy fő kapcsolattartót, aki az osztályokon keresztül felkészíti magát. A tanácsadók, mint ellenőrzési partnerek, tabuk, elvégre a rendszert az alkalmazottaknak kell élniük. Megfelelő időt kell biztosítani további időpufferekkel az egyes ellenőrzési pontokra. A „hancúrozás” nem hoz semmit az ügyfélnek. Csak abban az esetben, ha az auditorok elmélyülhetnek, fel lehet tárni olyan értelmes optimalizálási lehetőségeket, amelyek elősegítik a vállalat további fejlődését.