Додадена вредност преку ревизии „Lean and Rank“ - Квалитет Австрија

Правилната подготовка на ревизијата е од суштинско значење за да се добијат одржливи придобивки од надворешните ревизии. Насочувањето на процесите, ефективноста на мерките и избалансираната слабост на системот можат да бидат централни фокусни точки за ревизии за сертификација, обновување и надзор. Двајца искусни ревизори од областите ИСО 9001 за управување со квалитет, ИСО 27001 за безбедност на информации и ИСО 20000 за управување со ИТ услуги ги потенцираат „ДОО и ДОН`Т“ при подготовката на ревизијата.

додадена

Мис д-р. Стол, како се промени практиката за ревизија поради воведување хомогени структури во стандардите за управување со ИСО?

Д-р Stoll: Според новиот усогласен стандарден модел - ова се однесува на ISO 27001 за безбедноста на информациите и новиот ISO 9001: 2015 - ревизиите се фокусираат повеќе на стратешките интереси на организацијата и нејзините засегнати страни. Значи, не само што треба да се провери исполнувањето на стандардните барања, туку пред сè соодветноста и ефективноста на мерките за одржлив развој на компанијата. Интересите на клиентите и сопствениците, состојбата на пазарот, еколошките и социјалните аспекти, технолошкиот развој и новите барања за усогласеност со придружните можности и ризици играат важна улога. Сега на сето ова мора да се посвети поголемо внимание при ревизиите.

Како управувањето може да генерира додадена вредност преку насочена подготовка за ревизија?

Д-р Stoll: Во заедничкото планирање на ревизијата со ревизорот, приоритетите што треба да се проверат се дефинираат во согласност со стратешките размислувања. Организацијата може да го користи знаењето на ревизорите и повратните информации од ревизорските извештаи на насочен начин, на пример:

  • внатрешно да промовира аспекти на кои им треба подобрување, како што е оптимизација на процесите,
  • да се промовира внатрешна размена на знаења,
  • Прашање прилагодувања на променетите ситуации на пазарот,
  • да имаат ревизија на важни проекти за клиенти,
  • Проверете ја систематската и ефективна имплементација на нови стратегии.

Кои примери од секојдневната пракса можете да ги наведете?

Д-р Стол: Екстерната ревизија може многу добро да се „искористи“ за да се убедат раководството и вработените во промените. Ако одредени потенцијали се експлицитно спомнати во ревизорскиот извештај, ова често создава неверојатна динамика за имплементација. Исто така, добра идеја е да се изврши ревизија на новововедените упатства. Еднаш ми беше презентиран концепт за замена на старите компјутери, вклучително и релевантни аспекти на ISO 27001, како што се дистрибуција на софтвер и бришење на податоци. Благодарение на повратните информации од ревизијата, целосната замена може значително да се оптимизира. Исто така, има смисла експлицитно да се вклучат критички проекти за клиенти во ревизиите. На овој начин, понекогаш може да се зачуваат дополнителни ревизии од клиенти, а усогласеноста со важните договорни барања се проверува од независни трети страни. Континуиран понатамошен развој како одговор на променетите ситуации е клучен фокус на ревизијата: за системите ISO 27001 ова би било усогласеност, големи податоци, BYOD (донесете го вашиот сопствен уред) или компјутерска безбедност, за системите ISO 20000, исто така, за безбедност на облакот и за ISO 9001 на пример, оптимизација на процесот, размислување засновано врз ризик, управување со знаење.

Господине Филакионе, како треба да се справите со слабите точки во системот?

Инг. Филакион: Меѓусебната отвореност и доверба треба да бидат во фокусот на добрата подготовка на ревизијата. Ако организациите што треба да бидат овластени сакаат да ги сокријат своите слабости, искусен ревизор ќе ги открие порано или подоцна - но основата на доверба потоа е нарушена. Затоа има повеќе смисла при отворено решавање на слабите точки во системот при планирање на ревизијата и нивна ревизија на насочен начин со цел да се создаде корисен потенцијал за подобрување.

Колку време е добра подготовка за ревизија?

Инг. Филакион: „Стари раце“ - односно клиенти кои веќе имаат зрели системи, не се подготвуваат многу повеќе. Тие веќе имаат свои прегледи, тековни процеси за подобрување и потребните документи. Се разбира, изгледа поинаку со првичната сертификација. Фазен преглед како доброволна прелиминарна проценка и задолжителна ревизија во фаза 1, во која се проверува достапноста на документите, се добра подготовка за ревизијата за сертификација. Заедничкото планирање на ревизијата помеѓу ревизорот и клиентот идеално треба да се одвива околу 4 недели пред ревизијата за сертификација и пред секоја ревизија за следење и обновување, при што клиентот треба сам да го дефинира фокусот на ревизијата. Колку е позрел системот, толку повеќе ревизорот може да изврши ревизија на проекти во контекст на организацијата, стратегијата, ризиците и можностите, ориентацијата на засегнатите страни, како и ефективноста, ефикасноста и рационализацијата на процесите надвор од самото усогласување со стандардите.

За почетниците - можете да ни дадете преглед на потребните документи?

Инг. Филакион: Да, овие може да се најдат во одделните поглавја во рамките на усогласената стандардна структура. Според оваа наредба, треба да бидат достапни документирани информации со следнава содржина:

  • Контекст на организацијата
  • Лидерство и политика
  • Планирање и спроведување на политиката. Со ISO 27001, ова вклучува целосно управување со ризик како основа за соодветните мерки.
  • Процеси за поддршка - фокус на луѓето и комуникација Операција: Барања за производи и услуги, процеси, партнери, итн. Во ISO 27001, опишано е опишано оперативното управување со управувањето со ризиците.
  • Евалуација на перформансите (ISO 27001), вклучително и внатрешна ревизија и преглед на управувањето
  • Континуирано подобрување на системот

Која е честа грешка при креирање документи?

Инг. Филакион: Парадигмата се смени фундаментално: Во минатото, ревизорите може да бидат импресионирани од обемни прирачници, процеси и упатства. Денес е спротивното: според стандардот се бара да ја провериме корисноста, ефективноста и ефикасноста на документираните информации. Планини со документација не треба да се изработуваат што никој не ги чита. Основно е организацијата секогаш да се прашува кои документи се потребни за да се постигнат целите и резултатите на компанијата.

И, кои грешки имаат тенденција да се провлечат во процесот на слика?

Инг. Филакион: Човечкото суштество генерално се стреми да преземе одредена важност. Вработените понекогаш имаат тенденција да имаат свој „процес“. Тука мора да се направи јасна дистинкција: За што ви е потребен документиран процес, за што е доволно упатството или внатрешните информации? Упатство ги дефинира процесите без потреба за зачувување на клучните фигури. Процес, од друга страна, мапира сложени процедури, се протега на повеќе области и треба да се мери со користење на клучни фигури. Најдов пример за релативно непотребен процес пред години во голема организација каде што човечки ресурси спроведоа „процес на барање за отсуство“.

Идеално, се спроведува ревизија од горе надолу - што значи тоа?

Инг. Филакион: Ова значи дека ревизорот прво испитува точки како што се контекстот на организацијата, корпоративните цели и стратегијата за имплементација или, во случај на ISO 27001, посакуваното ниво на безбедност со раководството, а потоа го мери целиот систем со тоа дали спроведените мерки работат кон оваа цел. Во случај на првично сертифицирање, спроведениот систем за управување обично само делумно се совпаѓа со визијата на највисокото раководство, бидејќи често има премногу малку орелско око и оние што се вклучени понекогаш се губат во деталите. Во етапна ревизија, доброволна прелиминарна проценка, ревизорот може да укаже на отстапувања од целите, удвојувања и прекумерно ниво на детали навремено. Предноста на етапниот преглед или анализата на јазот е дека оние кои се вклучени во ревизијата за сертификација се многу опуштени затоа што невралгичните точки се веќе проверени и коригирани.

Кој општ совет давате за ревизорски процес ориентиран кон придобивки?

Инг. Филакион: За секој процес треба да се одреди главно лице за контакт, кое се подготвува себеси низ одделенијата. Консултантите како ревизорски партнери се табу, на крајот на краиштата, системот треба да го живеат вработените. Треба да се испланира доволно време со дополнителни временски тампони за поединечните ревизорски точки. „Пребарувањето над тоа“ не му носи на клиентот ништо. Само ако ревизорите можат да влезат во длабочина, може да се открие значителен потенцијал за оптимизација што ќе и помогне на компанијата да се развива понатаму.