Добавена стойност чрез одити: „Lean and Rank“

Правилната подготовка на одита е от съществено значение за постигане на устойчиви ползи от външни одити. Рационализирането на процесите, ефективността на мерките и балансираната устойчивост на системата могат да бъдат централни фокусни точки за одити на сертифициране, подновяване и надзор. Двама опитни одитори от областите ISO 9001 за управление на качеството, ISO 27001 за информационна сигурност и ISO 20000 за управление на ИТ услуги подчертават „НЕ и НЕ“ при подготовката на одита.

Госпожица д-р Stoll, как се е променила одиторската практика поради въвеждането на хомогенни структури в стандартите за управление на ISO?

Д-р Stoll: Според новия хармонизиран стандартен модел - това се отнася за ISO 27001 за информационна сигурност и новия ISO 9001: 2015 - одитите се фокусират повече върху стратегическите интереси на организацията и нейните заинтересовани страни. Така че трябва да се проверява не само изпълнението на стандартните изисквания, но преди всичко целесъобразността и ефективността на мерките за устойчиво развитие на компанията. Интересите на клиентите и собствениците, пазарната ситуация, екологичните и социалните аспекти, технологичното развитие и новите изисквания за съответствие със свързаните с тях възможности и рискове играят важна роля. Сега на всичко това трябва да се обърне по-голямо внимание при одитите.

Как може управлението да генерира добавена стойност чрез целенасочена подготовка на одита?

Д-р Stoll: В съвместното одиторско планиране с одитора приоритетите, които трябва да бъдат проверени, се определят според стратегическите съображения. Организацията може да използва целевото ноу-хау на одиторите и обратната връзка от одиторските доклади, например:

вътрешно за насърчаване на аспекти, които се нуждаят от подобрение като оптимизация на процесите,
за насърчаване на вътрешния обмен на знания,
Оспорване на корекции на променените пазарни ситуации,
да бъдат одитирани важни клиентски проекти,
Проверете системното и ефективно прилагане на нови стратегии.

Какви примери от ежедневната практика можете да посочите?

Д-р Stoll: Външен одит може много добре да се „използва“, за да убеди ръководството и служителите в промените. Ако определени потенциали са изрично споменати в одиторски доклад, това често създава удивителна динамика за изпълнение. Също така е добра идея да проверите нововъведените насоки. Веднъж ми беше представена концепция за подмяна на стари компютри, включително съответните аспекти на ISO 27001 като разпространение на софтуер и изтриване на данни. Благодарение на одитната обратна връзка, пълната подмяна може да бъде значително оптимизирана. Също така има смисъл изрично да се включват критични проекти на клиенти в одити. Това означава, че понякога могат да бъдат запазени допълнителни одити от клиенти и спазването на важни договорни изисквания се проверява от независими трети страни. Постоянното по-нататъшно развитие в отговор на променените ситуации е ключов фокус на одита: За системите по ISO 27001 това би било съответствие, големи данни, BYOD (Донесете собственото си устройство) или киберсигурност, за системите ISO 20000 също облачна сигурност и за ISO 9001 например оптимизация на процесите, мислене, основано на риска, управление на знанията.

Г-н Филакчионе, как трябва да се справите със слабите места в системата?

Ing.Filacchione: Взаимната откритост и доверие трябва да бъдат в центъра на добрата подготовка на одита. Ако организациите, които трябва да бъдат сертифицирани, искат да скрият своите слабости, опитен одитор ще ги открие рано или късно - но основата на доверието тогава е била повредена. Поради това е по-логично да се обърне внимание на слабите места в системата съвсем открито при планирането на одита и да ги накара да бъдат одитирани целенасочено, за да генерират полезен потенциал за подобрение.

Колко отнема време е добрата подготовка за одит?

Ing.Filacchione: „Стари ръце“ - тоест клиентите, които вече имат зрели системи, вече не се подготвят много. Те вече имат своите прегледи, текущи процеси за подобряване и необходимите документи. Разбира се, изглежда по различен начин при първоначалното сертифициране. Етапният преглед като доброволна предварителна оценка и задължителният одит на етап 1, при който се проверява наличността на документите, са добра подготовка за сертификационния одит. Съвместното планиране на одита между одитора и клиента в идеалния случай трябва да се осъществи около 4 седмици преди сертификационния одит и преди всеки одит за мониторинг и подновяване, като клиентът трябва сам да определи фокуса на одита. Колкото по-зряла е системата, толкова повече одиторът може да одитира проекти в контекста на организацията, стратегията, рисковете и възможностите, ориентацията на заинтересованите страни, както и ефективността, ефикасността и рационализирането на процесите отвъд самото съответствие със стандартите.

За начинаещите - можете да ни дадете преглед на необходимите документи?

Ing.Filacchione: Да, те могат да бъдат намерени в отделните глави в рамките на хармонизираната стандартна структура. Съгласно тази заповед трябва да е налице документирана информация със следното съдържание:

Контекст на организацията
Лидерство и политика
Планиране и изпълнение на политиката. С ISO 27001 това включва цялостно управление на риска като основа за съответните мерки.
Подкрепящи процеси - фокус върху хората и комуникацията Операция: Изисквания за продукти и услуги, процеси, партньори и др. В ISO 27001 тук е описано оперативното управление на управлението на риска.
Оценка на изпълнението (ISO 27001), включително вътрешен одит и преглед на управлението
Непрекъснато подобряване на системата

Коя е често срещаната грешка при създаването на документи?

Ing.Filacchione: Парадигмата се е променила коренно: В миналото одиторите биха могли да бъдат впечатлени от обширни ръководства, процеси и насоки. Днес е обратното: стандартът изисква да проверим полезността, ефективността и ефикасността на документираната информация. Не трябва да се създават планини от документация, които никой не чете. От съществено значение е организацията винаги да се пита кои документи са необходими за постигане на целите и резултатите на компанията.

И кои грешки са склонни да се прокрадват в процеса?

Ing.Filacchione: Човешкото същество обикновено се стреми да приеме определено значение. Служителите понякога имат свой собствен "процес". Тук трябва да се направи ясно разграничение: За какво ви е необходим документиран процес, за какво е достатъчна насока или вътрешна информация? Насоките определят процесите, без да е необходимо да се съхраняват ключови цифри. От друга страна, процесът картографира сложни работни потоци, обхваща няколко области и трябва да бъде измерим с помощта на ключови фигури. Намерих пример за относително ненужен процес преди години в голяма организация, в която HR беше приложил „процес на заявка за ваканция“.

В идеалния случай се извършва одит отгоре надолу - какво означава това?

Ing.Filacchione: Това означава, че одиторът първо изследва точки като контекста на организацията, корпоративните цели и стратегията за внедряване или, в случай на ISO 27001, желаното ниво на сигурност с ръководството и след това измерва цялата система, дали внедрените мерки работят за постигането на тази цел. В случай на първоначални сертификати, внедрената система за управление обикновено съвпада само частично с визията на висшия мениджмънт, тъй като често има твърде малко орлово око и засегнатите понякога се губят в подробности. При етапен преглед, доброволната предварителна оценка, одиторът може своевременно да посочи отклонения от целите, дублиране и прекомерно ниво на детайлност. Предимството на прегледа на етапа или анализа на пропуските е, че участниците в сертификационния одит са много спокойни, защото невралгичните точки вече са проверени и коригирани.

Какви общи съвети давате за процес на одит, ориентиран към изгода?

Ing.Filacchione: За всеки процес трябва да се определи основно лице за контакт, което да се подготвя в отделите. Консултантите като одиторски партньори са табу, в крайна сметка системата трябва да живее от служителите. За отделните точки за одит трябва да се планира достатъчно време с допълнителни времеви буфери. „Дразненето по него“ не носи нищо на клиента. Само ако одиторите могат да се задълбочат, може да се разкрие значим потенциал за оптимизация, който да помогне на компанията да се развива по-нататък.