Pridaná hodnota prostredníctvom auditov „Lean and Rank“ - Quality Austria

Správna príprava auditu je nevyhnutná na získanie udržateľných výhod z externých auditov. Zjednodušenie procesov, efektívnosť opatrení a vyvážená štíhlosť systému môžu byť ústrednými miestami pre certifikáciu, obnovu a dozorné audity. Dvaja skúsení audítori z oblastí ISO 9001 pre riadenie kvality, ISO 27001 pre informačnú bezpečnosť a ISO 20000 pre správu IT služieb zdôrazňujú „DO“ a „NON“ T v príprave auditu.

hodnota

Slečna Dr. Stoll, ako sa zmenila audítorská prax v dôsledku zavedenia homogénnych štruktúr do štandardov riadenia ISO?

DR. Stoll: Podľa nového modelu harmonizovanej normy - to sa týka normy ISO 27001 pre informačnú bezpečnosť a novej normy ISO 9001: 2015 - sa audity zameriavajú viac na strategické záujmy organizácie a jej zainteresovaných strán. Malo by sa teda kontrolovať nielen plnenie štandardných požiadaviek, ale predovšetkým vhodnosť a efektívnosť opatrení pre trvalo udržateľný rozvoj spoločnosti. Dôležitú úlohu zohrávajú záujmy zákazníkov a majiteľov, situácia na trhu, environmentálne a sociálne aspekty, technologický rozvoj a nové požiadavky na zhodu s príslušnými príležitosťami a rizikami. To všetko sa teraz musí pri auditoch viac zohľadňovať.

Ako môže vedenie generovať pridanú hodnotu prostredníctvom cielenej prípravy auditu?

DR. Stoll: Pri plánovaní spoločného auditu s audítorom sú kontaktné miesta, ktoré sa majú skontrolovať, definované na základe strategických úvah. Organizácia môže cielene využiť know-how audítorov a spätnú väzbu z audítorských správ, napríklad:

  • interne podporovať aspekty, ktoré je potrebné vylepšiť, napríklad optimalizáciu procesov,
  • podporovať vnútornú výmenu poznatkov,
  • Spochybňovanie úprav zmenených trhových situácií,
  • nechať vykonať audit dôležitých zákazníckych projektov,
  • Skontrolujte systematické a efektívne vykonávanie nových stratégií.

Aké príklady z každodennej praxe môžete pomenovať?

DR. Stoll: Externý audit možno veľmi dobre „použiť“ na presvedčenie manažmentu a zamestnancov o zmenách. Ak sú v správe o audite výslovne spomenuté určité potenciály, vytvára to často úžasnú dynamiku implementácie. Je tiež dobré vykonať audit novozavedených pokynov. Raz mi bol predstavený koncept výmeny starých počítačov vrátane relevantných aspektov ISO 27001, ako je distribúcia softvéru a mazanie údajov. Vďaka spätnej väzbe z auditu sa mohla kompletná náhrada výrazne optimalizovať. Dáva tiež zmysel výslovne zahrnúť do auditov kritické zákaznícke projekty. Takto môžu byť niekedy uložené ďalšie audity zákazníkov a nezávislé tretie strany kontrolujú dodržiavanie dôležitých zmluvných požiadaviek. Kľúčovým zameraním auditu je ďalší vývoj v reakcii na zmenené situácie: Pre systémy ISO 27001 by to malo byť dodržiavanie predpisov, veľké dáta, BYOD (Bring Your Own Device) alebo kybernetická bezpečnosť, pre systémy ISO 20000 aj cloudové zabezpečenie a pre ISO 9001 napríklad optimalizácia procesov, myslenie založené na riziku, riadenie znalostí.

Pán Filacchione, ako by ste mali riešiť slabé stránky systému?

Ing. Filacchione: Dobrá príprava auditu by sa mala zamerať na vzájomnú otvorenosť a dôveru. Ak organizácie, ktoré majú byť certifikované, chcú skryť svoje slabosti, skúsený audítor ich skôr alebo neskôr odhalí - ale potom sa poškodila základňa dôvery. Preto má zmysel pri plánovaní auditu riešiť slabé miesta v systéme celkom otvorene a nechať ich cielene skontrolovať, aby sa vytvoril užitočný potenciál na zlepšenie.

Aká náročná je dobrá príprava auditu na čas?

Ing. Filacchione: „Staré ruky“ - to znamená, zákazníci, ktorí už majú vyspelé systémy, sa už veľa nepripravujú. Už majú svoje kontroly, procesy neustáleho zlepšovania a potrebné dokumenty. S počiatočnou certifikáciou to samozrejme vyzerá inak. Fázové preskúmanie ako dobrovoľné predbežné hodnotenie a povinný prvý stupeň auditu, pri ktorom sa kontroluje dostupnosť dokumentov, sú dobrou prípravou na certifikačný audit. Plánovanie spoločného auditu medzi audítorom a zákazníkom by sa malo v ideálnom prípade uskutočniť približne 4 týždne pred certifikačným auditom, ako aj pred každým monitorovacím a obnovovacím auditom, pričom zákazník by si mal zamerať audit sám. Čím je systém vyspelejší, tým viac môže audítor vykonávať audit projektov v kontexte organizácie, stratégie, rizík a príležitostí, orientácie na zainteresované strany, ako aj efektívnosti, účinnosti a racionalizácie procesov presahujúcich iba súlad s normami.

Pre začiatočníkov - môžete nám poskytnúť prehľad požadovaných dokumentov?

Ing. Filacchione: Áno, tieto nájdete v jednotlivých kapitolách v rámci harmonizovanej štandardnej štruktúry. Podľa tohto príkazu by mali byť k dispozícii zdokumentované informácie s nasledujúcim obsahom:

  • Kontext organizácie
  • Vedenie a politika
  • Plánovanie a implementácia politiky. S normou ISO 27001 to zahŕňa úplné riadenie rizík ako základ pre príslušné opatrenia.
  • Podporné procesy - zameranie na ľudí a komunikáciu Prevádzka: Požiadavky na výrobky a služby, procesy, partnerov atď. V ISO 27001 je tu opísané operatívne zvládanie riadenia rizík.
  • Hodnotenie výkonnosti (ISO 27001) vrátane interného auditu a kontroly manažmentom
  • Neustále zlepšovanie systému

Aká je častá chyba pri vytváraní dokumentov?

Ing. Filacchione: Paradigma sa zásadne zmenila: V minulosti mohli audítori zaujať rozsiahlymi príručkami, postupmi a pokynmi. Dnes je pravý opak: podľa normy sa vyžaduje, aby sme skontrolovali užitočnosť, efektívnosť a účinnosť zdokumentovaných informácií. Nemali by sa vytvárať kopy dokumentácie, ktorú nikto neprečíta. Je nevyhnutné, aby si organizácia vždy kládla otázku, ktoré dokumenty sú potrebné na dosiahnutie cieľov a výsledkov spoločnosti.

A ktoré chyby majú tendenciu vkrádať sa do procesnej krajiny?

Ing. Filacchione: Ľudská bytosť sa vo všeobecnosti usiluje prevziať určitý význam. Zamestnanci majú niekedy tendenciu mať svoj vlastný „proces“. Tu je potrebné jasne rozlíšiť: Na čo potrebujete zdokumentovaný postup, na čo stačí usmernenie alebo interné informácie? Usmernenie definuje procesy bez potreby ukladania kľúčových čísel. Na druhej strane proces mapuje zložité postupy, ktoré sa rozprestierajú v niekoľkých oblastiach a mali by byť merateľné pomocou kľúčových čísel. Našiel som príklad relatívne nepotrebného procesu pred rokmi vo veľkej organizácii, kde HR implementovalo „proces žiadosti o dovolenku“.

V ideálnom prípade sa vykoná audit zhora nadol - čo to znamená?

Ing. Filacchione: To znamená, že audítor najskôr preskúma body, ako sú kontext organizácie, ciele spoločnosti a stratégia implementácie, alebo v prípade normy ISO 27001 cieľová úroveň bezpečnosti s vedením, a potom zmeria celý systém podľa toho, či implementované opatrenia smerujú k dosiahnutiu tohto cieľa. V prípade počiatočnej certifikácie sa implementovaný systém riadenia zvyčajne len čiastočne zhoduje s víziou vrcholového manažmentu, pretože je tu často príliš málo orlieho oka a tí, ktorých sa to týka, sa niekedy stratia v detailoch. Pri etapovom preskúmaní, dobrovoľnom predbežnom hodnotení, môže audítor včas upozorniť na odchýlky od cieľov, duplikácie a nadmernú úroveň podrobností. Výhodou etapového preskúmania alebo analýzy medzery je, že tí, ktorí sa zúčastňujú certifikačného auditu, sú veľmi uvoľnení, pretože neuralgické body už boli skontrolované a opravené.

Aký všeobecný tip dávate pre proces auditu zameraného na výhody?

Ing. Filacchione: Pre každý proces by mala byť určená hlavná kontaktná osoba, ktorá sa pripravuje naprieč oddeleniami. Konzultanti ako audítorskí partneri sú tabu, koniec koncov, systém by mali viesť zamestnanci. Pre jednotlivé body auditu by sa mal naplánovať dostatok času s ďalšími časovými rezervami. „Fidlovanie na tom“ zákazníkovi nič neprináša. Zmysluplný optimalizačný potenciál, ktorý spoločnosti pomôže v ďalšom rozvoji, sa dá vyjsť iba v prípade, že audítori môžu ísť do hĺbky.