Valoare adăugată prin audituri „Lean and Rank” - Quality Austria

Pregătirea corectă a auditului este esențială pentru obținerea de beneficii durabile din auditurile externe. Raționalizarea proceselor, eficacitatea măsurilor și o slăbiciune echilibrată a sistemului pot fi puncte centrale pentru auditurile de certificare, reînnoire și supraveghere. Doi auditori cu experiență din domeniile ISO 9001 pentru managementul calității, ISO 27001 pentru securitatea informației și ISO 20000 pentru managementul serviciilor IT evidențiază „DO și DON`Ts” în pregătirea auditului.

valoare

Domnișoară Dr. Stoll, cum s-a schimbat practica de audit prin introducerea unor structuri omogene în standardele de management ISO?

Dr. Stoll: Conform noului model standard armonizat - acest lucru se aplică ISO 27001 pentru securitatea informațiilor și noului ISO 9001: 2015 - auditurile se concentrează mai mult pe interesele strategice ale organizației și ale părților interesate ale acesteia. Așadar, ar trebui verificată nu numai îndeplinirea cerințelor standard, ci mai presus de toate adecvarea și eficacitatea măsurilor pentru dezvoltarea durabilă a companiei. Interesele clienților și proprietarilor, situația pieței, aspectele de mediu și sociale, evoluțiile tehnologice și noile cerințe de conformitate cu oportunitățile și riscurile asociate joacă un rol important. Toate acestea trebuie acum să fie luate în considerare mai mult în cadrul auditurilor.

Cum poate managementul să genereze valoare adăugată prin pregătirea auditului țintit?

Dr. Stoll: În planificarea auditului comun cu auditorul, prioritățile care trebuie verificate sunt definite în funcție de considerații strategice. Organizația poate utiliza cunoștințele auditorilor și feedback-ul din rapoartele de audit într-o manieră direcționată, de exemplu:

  • intern pentru a promova aspecte care trebuie îmbunătățite, cum ar fi optimizarea proceselor,
  • pentru a promova schimbul intern de cunoștințe,
  • Punerea la îndoială a ajustărilor la situațiile de piață modificate,
  • să auditeze proiecte importante ale clienților,
  • Verificați implementarea sistematică și eficientă a noilor strategii.

Ce exemple din practica zilnică poți numi?

Dr. Stoll: Un audit extern poate fi foarte bine „folosit” pentru a convinge conducerea și angajații de schimbări. Dacă anumite potențiale sunt menționate în mod explicit într-un raport de audit, acest lucru duce adesea la o dinamică uimitoare pentru implementare. De asemenea, este o idee bună să auditați liniile directoare nou introduse. Mi s-a prezentat odată un concept pentru înlocuirea computerelor vechi, inclusiv aspecte relevante ISO 27001, cum ar fi distribuția de software și ștergerea datelor. Datorită feedback-ului de audit, înlocuirea completă ar putea fi optimizată semnificativ. De asemenea, are sens să includem în mod explicit proiectele critice ale clienților în audituri. În acest fel, uneori pot fi salvate audituri suplimentare de către clienți, iar conformitatea cu cerințele contractuale importante este verificată de terți independenți. Dezvoltarea continuă continuă ca răspuns la situații schimbate este un obiectiv cheie al auditului: pentru sistemele ISO 27001 aceasta ar fi conformitatea, big data, BYOD (Bring Your Own Device) sau securitatea cibernetică, pentru sistemele ISO 20000 și securitatea cloud și pentru ISO 9001, de exemplu, optimizarea proceselor, gândirea bazată pe riscuri, gestionarea cunoștințelor.

Domnule Filacchione, cum ar trebui să faceți față punctelor slabe din sistem?

Ing. Filacchione: Deschiderea reciprocă și încrederea ar trebui să fie centrul unei bune pregătiri a auditului. Dacă organizațiile care urmează să fie certificate vor să-și ascundă punctele slabe, un auditor experimentat le va descoperi mai devreme sau mai târziu - dar baza încrederii a fost apoi afectată. Prin urmare, are mai mult sens să abordăm punctele slabe din sistem destul de deschis atunci când planificăm auditul și să le audităm într-o manieră direcționată pentru a genera un potențial util de îmbunătățire.

Cât de consumator de timp este o pregătire bună pentru audit?

Ing. Filacchione: „Mâinile vechi” - adică clienții care au deja sisteme mature, nu se mai pregătesc prea mult. Au deja analize, procese de îmbunătățire continuă și documentele necesare. Desigur, arată diferit cu certificarea inițială. O analiză etapă ca evaluare preliminară voluntară și auditul obligatoriu din etapa 1, în care este verificată disponibilitatea documentelor, sunt o pregătire bună pentru auditul de certificare. Planificarea comună a auditului între auditor și client ar trebui să aibă loc în mod ideal cu aproximativ 4 săptămâni înainte de auditul de certificare și înainte de fiecare audit de monitorizare și reînnoire, prin care clientul ar trebui să definească el însuși centrul de audit. Cu cât sistemul este mai matur, cu atât auditorul poate audita proiecte în contextul organizației, strategiei, riscurilor și oportunităților, orientarea părților interesate, precum și eficacitatea, eficiența și eficientizarea proceselor dincolo de simpla conformitate cu standardele.

Pentru începători - ne puteți oferi o prezentare generală a documentelor necesare?

Ing. Filacchione: Da, acestea pot fi găsite în capitolele individuale din cadrul structurii standard armonizate. Conform acestei comenzi, ar trebui să fie disponibile informații documentate cu următorul conținut:

  • Contextul organizației
  • Conducere și politică
  • Planificarea și implementarea politicilor. Cu ISO 27001, aceasta include managementul complet al riscurilor ca bază pentru măsurile corespunzătoare.
  • Procese de sprijin - concentrare pe oameni și comunicare Operațiune: Cerințe pentru produse și servicii, procese, parteneri etc. În ISO 27001, tratamentul operațional al managementului riscurilor este descris aici.
  • Evaluarea performanței (ISO 27001), inclusiv audit intern și revizuirea managementului
  • Îmbunătățirea continuă a sistemului

Ce este o greșeală obișnuită atunci când creați documente?

Ing. Filacchione: Paradigma s-a schimbat fundamental: În trecut, auditorii ar putea fi impresionați de manuale, procese și îndrumări extinse. Astăzi este adevărat opusul: standardul ne cere să verificăm utilitatea, eficacitatea și eficiența informațiilor documentate. Nu ar trebui să se producă munți de documentație pe care nimeni nu le citește. Esențialul este: organizația ar trebui să se întrebe întotdeauna ce documente sunt necesare pentru a atinge obiectivele și rezultatele companiei.

Și care erori tind să se strecoare în peisajul procesului?

Ing. Filacchione: Ființa umană se străduiește în general să își asume o anumită importanță. Angajații tind uneori să aibă propriul lor „proces”. Aici trebuie făcută o distincție clară: pentru ce aveți nevoie de un proces documentat, pentru ce este suficient un ghid sau informații interne? Un ghid definește procesele fără a fi necesară stocarea figurilor cheie. Un proces, pe de altă parte, mapează proceduri complexe, se întinde pe mai multe zone și ar trebui să fie măsurabil folosind cifre cheie. Am găsit un exemplu de proces relativ inutil cu ani în urmă într-o mare organizație în care HR a implementat un „proces de solicitare a vacanței”.

În mod ideal, se efectuează un audit de sus în jos - ce înseamnă asta?

Ing. Filacchione: Aceasta înseamnă că auditorul examinează mai întâi puncte precum contextul organizației, obiectivele corporative și strategia de implementare sau, în cazul ISO 27001, nivelul de securitate vizat cu managementul și apoi măsoară întregul sistem în funcție de măsurile în care măsurile implementate funcționează în acest scop. În cazul certificărilor inițiale, sistemul de management implementat se potrivește de obicei doar parțial cu viziunea conducerii superioare, deoarece deseori există prea puțin ochi de vultur și cei implicați se pierd uneori în detalii. Într-o analiză etapă, evaluarea preliminară voluntară, un auditor poate indica în timp util abateri de la obiective, duplicări și un nivel excesiv de detalii. Avantajul revizuirii etapei sau analizei lacunelor este că cei implicați în auditul de certificare sunt foarte relaxați, deoarece punctele neurale au fost deja verificate și corectate.

Ce sfat general dați pentru un proces de audit orientat spre beneficii?

Ing. Filacchione: Ar trebui stabilită o persoană de contact principală pentru fiecare proces, care se pregătește de la un departament la altul. Consultanții ca parteneri de audit sunt tabu, la urma urmei, sistemul ar trebui să fie trăit de angajați. Ar trebui să fie planificat un timp suficient cu tampoane de timp suplimentare pentru punctele de audit individuale. „Lăutarea peste asta” nu aduce nimic clientului. Doar atunci când auditorii pot intra în profunzime se poate scoate la iveală un potențial semnificativ de optimizare care ajută compania să se dezvolte în continuare.