Додана вартість через аудит "Lean and Rank" - якість Австрії

Правильна підготовка аудиту має важливе значення для отримання стійких вигод від зовнішнього аудиту. Впорядкування процесів, ефективність заходів та збалансована економічність системи можуть бути центральними центрами для сертифікації, оновлення та нагляду. Два досвідчені аудитори з галузей ISO 9001 з управління якістю, ISO 27001 з інформаційної безпеки та ISO 20000 з управління ІТ-послугами підкреслюють "НЕОБХІДНІ" у підготовці до аудиту.

аудит

Міс доктор Столл, як змінилася практика аудиту завдяки впровадженню однорідних структур у стандарти управління ISO?

Лікар. Стіл: Відповідно до нової гармонізованої стандартної моделі - це стосується ISO 27001 щодо інформаційної безпеки та нового ISO 9001: 2015 - аудити більше зосереджуються на стратегічних інтересах організації та її зацікавлених сторін. Тож слід перевіряти не лише виконання стандартних вимог, а перш за все доцільність та ефективність заходів щодо сталого розвитку компанії. Важливу роль відіграють інтереси споживачів та власників, ситуація на ринку, екологічні та соціальні аспекти, технологічний розвиток та нові вимоги дотримання з відповідними можливостями та ризиками. Тепер все це повинно бути приділено більшій увазі під час аудитів.

Як керівництво може генерувати додану вартість завдяки цільовій підготовці аудиту?

Лікар. Стіл: У спільному з аудитором плануванні аудиту пріоритети, що перевіряються, визначаються відповідно до стратегічних міркувань. Організація може цілеспрямовано використовувати ноу-хау аудиторів та відгуки з аудиторських звітів, наприклад:

  • внутрішньо для просування аспектів, які потребують вдосконалення, таких як оптимізація процесів,
  • сприяти внутрішньому обміну знаннями,
  • Піддають сумніву коригування змінених ринкових ситуацій,
  • проводити аудит важливих проектів клієнтів,
  • Перевірити систематичну та ефективну реалізацію нових стратегій.

Які приклади з щоденної практики ви можете назвати?

Лікар. Стіл: Зовнішній аудит можна дуже добре «використати», щоб переконати керівництво та працівників у змінах. Якщо певні потенційні можливості чітко зазначені у звіті про аудит, це часто створює дивовижну динаміку для реалізації. Також гарною ідеєю є аудит нещодавно введених рекомендацій. Одного разу мені представили концепцію заміни старих ПК, включаючи відповідні аспекти ISO 27001, такі як розповсюдження програмного забезпечення та видалення даних. Завдяки відгуку про аудит, повна заміна може бути значно оптимізована. Також має сенс чітко включати критичні проекти замовника в аудит. Таким чином, іноді можна заощадити додаткові аудиторські перевірки, а незалежність третіх сторін перевіряє відповідність важливим контрактним вимогам. Постійний подальший розвиток у відповідь на змінені ситуації є ключовим акцентом аудиту: для систем ISO 27001 це буде відповідність, великі дані, BYOD (принесіть свій пристрій) або кібербезпека, для систем ISO 20000 також хмарна безпека та ISO 9001, наприклад, оптимізація процесів, мислення на основі ризиків, управління знаннями.

Пане Філакчіоне, як слід боротися зі слабкими місцями в системі?

Інж. Філаккіо: Взаємна відкритість та довіра повинні бути в центрі уваги належної підготовки до аудиту. Якщо організації, які підлягають сертифікації, хочуть приховати свої слабкі сторони, досвідчений аудитор рано чи пізно виявить їх - але основа довіри тоді була пошкоджена. Тому має сенс досить відкрито розглядати слабкі місця в системі під час планування аудиту та проводити цільовий аудит для того, щоб створити корисний потенціал для вдосконалення.

Наскільки трудомісткою є гарна підготовка до аудиту?

Інж. Філаккіо: "Старі руки" - тобто клієнти, які вже мають зрілі системи, мало що більше готуються. Вони вже мають свої огляди, постійні процеси вдосконалення та необхідні документи. Звичайно, це виглядає інакше з початковою сертифікацією. Етапний огляд як добровільна попередня оцінка та обов’язковий аудит першого етапу, в ході якого перевіряється наявність документів, є гарною підготовкою до сертифікаційного аудиту. Спільне планування аудиту між аудитором та замовником в ідеалі повинно відбуватися приблизно за 4 тижні до сертифікаційного аудиту та перед кожним аудитом моніторингу та відновлення, в результаті чого замовник повинен сам визначити фокус аудиту. Чим більш зрілою є система, тим більше аудитор може проводити аудит проектів у контексті організації, стратегії, ризиків та можливостей, орієнтації на зацікавлені сторони, а також ефективності, результативності та впорядкування процесів за рамки простого дотримання стандартів.

Для початківців - ви можете дати нам огляд необхідних документів?

Інж. Філаккіо: Так, їх можна знайти в окремих главах у межах гармонізованої стандартної структури. Відповідно до цього наказу повинна бути доступна документована інформація із таким змістом:

  • Контекст організації
  • Лідерство та політика
  • Планування та реалізація політики. З ISO 27001 це включає повне управління ризиками як основу для відповідних заходів.
  • Допоміжні процеси - фокус на людях та спілкуванні Експлуатація: Вимоги до продуктів та послуг, процесів, партнерів тощо. У ISO 27001 тут описано оперативне управління ризиками.
  • Оцінка ефективності (ISO 27001), включаючи внутрішній аудит та огляд керівництва
  • Постійне вдосконалення системи

Що є типовою помилкою при створенні документів?

Інж. Філаккіо: Парадигма кардинально змінилася: раніше аудитори могли бути вражені великими посібниками, процесами та рекомендаціями. Сьогодні все навпаки: стандарт вимагає перевірки корисності, результативності та ефективності документованої інформації. Не слід видавати гори документації, яку ніхто не читає. Важливо, щоб організація завжди запитувала себе, які документи необхідні для досягнення цілей та результатів компанії.

І які помилки, як правило, проникають у процес?

Інж. Філаккіо: Людина загалом прагне надати певне значення. Співробітники часом мають власний "процес". Тут слід чітко розмежувати: для чого вам потрібний документований процес, для чого достатньо керівних принципів чи внутрішньої інформації? Керівництво визначає процеси без необхідності зберігати ключові показники. З іншого боку, процес відображає складні процедури, поширюється на декілька областей і повинен бути вимірюваним за допомогою ключових цифр. Я знайшов приклад відносно непотрібного процесу багато років тому у великій організації, де HR запровадив "процес запиту на відпустку".

В ідеалі проводиться аудит зверху вниз - що це означає?

Інж. Філаккіо: Це означає, що аудитор спочатку вивчає такі моменти, як контекст організації, корпоративні цілі та стратегія впровадження, або, у випадку з ISO 27001, бажаний рівень безпеки з керівництвом, а потім вимірює всю систему на предмет того, чи реалізовані заходи відповідають цій меті. У разі первинних сертифікацій впроваджена система управління, як правило, лише частково відповідає баченню вищого керівництва, оскільки орлиного ока часто замало, і залучені люди часом губляться в деталях. Під час поетапного огляду, добровільної попередньої оцінки, аудитор може вчасно вказати на відхилення від цілей, дублювання та надмірний рівень деталізації. Перевага етапу огляду або аналізу розривів полягає в тому, що учасники сертифікаційного аудиту дуже розслаблені, оскільки невралгічні точки вже перевірені та виправлені.

Які загальні поради ви даєте для процесу аудиту, орієнтованого на вигоди?

Інж. Філаккіо: Для кожного процесу повинна бути визначена основна контактна особа, яка готується до різних відділів. Консультанти як партнери з аудиту є табу, зрештою, система повинна жити працівниками. Для окремих пунктів аудиту слід запланувати достатньо часу з додатковими буферами часу. “Возитися над цим” нічого не приносить клієнту. Тільки якщо аудитори можуть глибше поглибитись, можна виявити значущий потенціал оптимізації, який допоможе компанії розвиватися далі.