Certyfikat ISO, normy ISO, ISO 9001, międzynarodowa organizacja normalizacyjna, certyfikacja ISO, systemy zarządzania jakością… jeśli pracujesz w dużym przedsiębiorstwie lub starasz się o stanowisko zarządcze – z pewnością słyszałeś te terminy wielokrotnie. Co jednak one oznaczają? Skąd się wzięły? Jakie zadania ma audytor wewnętrzny i jak wygląda certyfikacja? O tym w krótkim artykule audytorki wewnętrznej Aplitt.

W drugiej połowie XIX wieku dostrzeżono potrzebę ujednolicenia parametrów produktów pomiędzy producentami. Proces zapoczątkowały giełdy handlowe, zyskując usunięcie barier technicznych w handlu. Dalszym krokiem w rozwoju, było powstanie norm zawierających definicje, terminy, oznaczenia i symbole powszechnie stosowane. To one stały się podstawą systemu zarządzania , systemu zarządzania jakością, ale i wszelkich innych norm, które zapewniają ujednolicenie ale i ciągłe doskonalenie procesów na całym świecie.

W roku 1926 w Szwajcarii, powołano do życia Międzynarodową Federację komitetów Normalizacyjnych, której rolą było przede wszystkim wymiana informacji. Na bazie tej organizacji w roku 1947 powołano nową jednostkę, Międzynarodową Organizację Normalizacyjną (ISO, od której pochodzi też skrót iso), której zadaniem jest tworzenie norm międzynarodowych, do których miały być dostosowane normy krajowe. Obecnie ISO zrzesza jednostki ze 162 krajów całego świata.

Normy ISO opublikowały do tej pory ponad 22 tys. Międzynarodowych standardów, które dotyczą każdej branży od bezpieczeństwa żywności po bezpieczeństwo informacji. Normy mają charakter uniwersalny, mogą być stosowane przez dużych i małych, przez organizacje rządowe, oraz pozarządowe.

Oto kilka z nich:

Norma ISO 9000 to zestaw norm dotyczących systemów zarządzania jakością w środowiskach produkcyjnych i zawiera 7 podstawowych zasad które firmy powinny osiągnąć, by ich efektywność nieustannie wzrastała:

• Orientacja na klienta – klienci to podstawa funkcjonowania
• Przywództwo – efektywne, mądre, oparte na strategii i celach, wyciągające wnioski
• Zaangażowanie ludzi: ważnym jest aby wzmacniać zaangażowanie ludzi poprzez identyfikację z firmą, rozwój kompetencji, analizowanie wszelkich pomysłów.
• Podejście procesowe: przewidywane wyniki są osiągane efektywniej jeśli oparte są na procesach (głównych, pomocniczych i zewnętrznych). Organizacja powinna zarządzać tymi procesami.
• Ciągłe doskonalenie: powinno obejmować warunki wewnętrzne i zewnętrzne ich analiza pomaga identyfikować ich szanse i możliwości.
• Podejmowanie decyzji opartej na dowodach: ważne jest aby proces podejmowania decyzji odbywał się wyłącznie na podstawie niepodważalnych dowodów. Stan faktyczny, dowody i analizy prowadzą do większego obiektywizmu.
• Wzajemne korzyści w stosunkach z zainteresowanymi stronami: Organizacja dba o dobre relacje z zewnętrznymi zainteresowanymi stronami, na zasadzie relacji win: win.

ISO 27001 to inaczej System Zarządzania Bezpieczeństwem Informacji – podaje ona wymagania odnoszące się do ustanowienia, wdrożenia, utrzymania i ciągłego doskonalenia Systemu Zarządzania Bezpieczeństwem Informacji (SZBI). Nasza firma certyfikuje swój system SZBI właśnie na zgodność z wymaganiami ISO 27001.

Mamy trzy zasadnicze atrybuty ochrony informacji:

• Poufność – zapewnienie, że informacje są dostępne tylko dla osób uprawnionych.
• Integralność – zagwarantowanie dokładności i kompletności informacji, oraz ich metod przetwarzania.
• Dostępność – zapewnienie upoważnionym użytkownikom dostęp do informacji i związanych z nimi zasobów, zgodnie z określonymi potrzebami.

Informacje będące w posiadaniu organizacji mają swoją realną wartość, i mogą być podatne na zagrożenia: kradzież, zniszczenie, zafałszowanie itd. Wraz z rozwojem informatyki i Internetu, mamy masę nowych zagrożeń: włamania hakerów, wirusy komputerowe, kradzieże tożsamości, szpiegostwo przemysłowe, kradzieże poprzez bankowość elektroniczną.

Dzięki ISO 27001 – wprowadzamy do organizacji mechanizmy ciągłej kontroli procesów oraz możliwości doskonalenia się poprzez nieustanne doskonalenie zabezpieczeń.

norma jest stosowana w medycynie – wyroby medyczne muszą być zaprojektowane i wytworzone tak, aby ich stosowanie w przewidzianych warunkach i zgodnie z przewidzianym zastosowaniem nie zagrażało zdrowiu i bezpieczeństwu pacjentów, użytkowników oraz innych osób.

Jest to dość nowa norma, dot. zarządzania środowiskowego, i w połączeniu z ISO 9001 firma ma jasny, efektywny kierunek biznesowy.

To standard bezpieczeństwa i higieny żywności. W przemyśle spożywczym niezbędne jest posiadanie standardu dla organizacji w zakresie kontroli zagrożeń bezpieczeństwa żywności.

Wymienione powyżej normy, to normy najczęściej wdrażane przez firmy, każda z nich powstała przy udziale ekspertów, w celu wypracowania spójności działania, dążącego do ciągłego doskonalenia się. I tak jako społeczeństwo zdążyliśmy się już przyzwyczaić do tej standaryzacji, i ciągłego monitoringu procesów jakości. ISO jest wszędzie, jakość żywności, BHP, transport, bezpieczeństwo w sieci, bezpieczne budownictwo, lotnictwo, nasze auta, ulice i przepisy ruchu drogowego. Mamy zaufanie do procesów które nam towarzyszą w życiu, chcemy mieć bezpieczne domy, auta,chcemy wiedzieć że ktoś nad tym czuwa, nigdy nie przestaje w pozyskiwaniu wiedzy na ich temat, oraz ciągłego doskonalenia.

Przykład?

Pewnie wydaje Ci się, że normy Cię nie dotyczą, prawda? Spójrzmy na dzień z życia Michała Kowalskiego…

Obudził go budzik (ISO 60335 – elektryczny sprzęt do użytku domowego i podobnego – bezpieczeństwo użytkowania), poszedł do łazienki wziąć prysznic (ISO 9836_Właściwości użytkowe w budownictwie) i przygotować się do wyjścia do pracy. Po drodze kupił śniadanie w pobliskim sklepiku (ISO 22000 – wymagania dla wszystkich organizacji należących do łańcucha żywnościowego) Wsiadł do swojego samochodu (ISO 12507:2005 Usługi transportowe – Wytyczne stosowania EN ISO 9001:2000 w transporcie drogowym i kolejowym) i ruszył ulicami miasta do pracy (ISO 39001 Zarządzanie Bezpieczeństwem Ruchu Drogowego). Niestety są korki, wysłał sms (PN-ETS 300 Europejski cyfrowy komórkowy system telekomunikacyjny) do kolegi z informacją że się spóźni.

W pracy (ISO 18000 – Bezpieczeństwo i higiena pracy), ma zapewnione stanowisko i bezpieczne warunki. Firma działa prężnie (ISO 9000 Systemy Zarządzania Jakością), Kowalski czuje się częścią społeczności; dane osobowe, oraz wszelkie dane klientów są chronione i bezpieczne (ISO 27001 Systemy zarządzania bezpieczeństwem informacji).

Po pracy krótka wizyta u lekarza, tylko wizyta kontrolna, (ISO 13485 – standaryzacja wyrobów medycznych), wszystko jest dobrze więc zadowolony idzie na kawę (ISO 22000 – higiena żywności) do pobliskiej restauracji, przy kawie przegląda swoje zdjęcia, które trzyma na dysku w chmurze (ISO 27017 – Ochrona poufnych informacji w chmurze) . Tak czas już na wakacje, ale urlopu mało, więc może krótki wypad w góry?

Tak to dobry moment na zakup nowych butów na górskie szlaki (ISO 9407 – norma definiująca rozmiary obuwia). Hmm, no tak ale jest tyle innych spraw które trzeba „ogarnąć”: auto oddać do serwisu (System Zarządzania Jakością ISO 9001:2000 serwis), zaplanować remont kuchni….

Jak potoczy się historia Michała? Gdzie pojechał na urlop? Ile norm jeszcze go otacza na co dzień? Moglibyśmy pisać tak w nieskończoność. Normy ISO otaczają nas każdego dnia!

Organizacja, która chce wdrożyć ISO u siebie, zobowiązuje się przejść proces certyfikacyjny oraz dostosowanie procedur, a tym samym minimalizuje ryzyka związane z prowadzoną działalnością a także pozwala na zrównoważony rozwój oraz zyskuje prestiż (to tylko niektóre z benefitów certyfikatu iso!). Po przejściu audytu zewnętrznego przed jednostkę uprawnioną do certyfikacji ISO, firma uzyskuje potwierdzenie spełniania wymagań w formie certyfikatu ISO.

Wraz z ISO pojawia się audyt wewnętrzny, o którym w skrócie powiedzieć można, że jest to  najlepsze narzędzie do systematycznego upewniania się, że wszystko w organizacji działa zgodnie. Audyt wewnętrzny jest jednym z kluczowych elementów współczesnego ładu w korporacjach i zajmuje unikalną pozycję w organizacji. Audytor lub audytorka dzięki temu może dostarczać kierownictwu, obiektywne zapewnienia na temat procesów zarządzania ryzykiem, kontroli, ładu organizacyjnego i przyczynia się do poprawy ich działania. Pomaga organizacji osiągnąć cele dostarczając zapewnienia o skuteczności procesów, jak również poprzez doradztwo. Aby dobrze wypełniać swoją rolę, audytor  – poza posiadaniem odpowiedniej wiedzy (z zakresu ISO, procedur obowiązujących w organizacji, wymagań prawnych) ,musi pracować według ustalonych reguł, oraz kierować się kodeksem etyki zawodowej.

Celem Audytora jest sprawdzenie zgodności tego co jest w dokumentacji, przepisach, założeniach, a tym co się dzieje i jak się dzieje,  w oparciu o obiektywne dowody, celem jest także znalezienie dowodów zgodności, jeśli znajdziemy nieprawidłowości, dalsze działania zmierzają w kierunku naprawy, usprawnienia.

Aby odpowiednio sprawdzać wykonanie norm ISO w przedsiębiorstwie powinno pojawić się stanowisko audytora wewnętrznego.

Cechy audytora:

• rzetelność – podstawa profesjonalizmu,
• uczciwość i bezstronność,
• uczciwe przedstawianie wyników – dokładnie i zgodnie z prawdą,
• należyta staranność zawodowa – pracowitość i rozsądek,
• poufność  – bezpieczeństwo informacji i poprawne obchodzenie się z wrażliwymi i poufnymi informacjami,
• niezależność – podstawa bezstronności i obiektywności wniosków,
• podejście oparte na dowodach – dowód ma być weryfikowalny.

Czyli audytor to piękne, mądre i szlachetne stworzenie, służące swoją szeroką wiedzą, oraz nietuzinkowymi cechami osobowości 😊

Audyt posługuje się własnym językiem, tworząc plany audytu, karty audytu, ścieżki audytu, oraz raporty. Jednak zawsze audytor stara się zadawać pytania, i prowadzić rozmowę w sposób przystępny i zrozumiały.

Dzięki procesom kontrolowanym, wzmacnianym, przez audyt, dzięki wspólnej pracy, w trakcie audytu, i działaniach doskonalących po audycie – firma jest w stanie, uprościć procesy, unikać zagrożeń, działać zgodnie z prawem, i nieustannie ulepszać i rozwijać  swoje kluczowe kompetencje.

Czemu może to służyć? Niech za przykład posłuży zdjęcie zrobione pewnego pięknego popołudnia w Gruzji.

Gdy to zobaczyłam, byłam zdumiona. Pierwsza myśl, co z resztą? I od razu widać jak na dłoni, co nam daje standaryzacja, normy, przepisy, certyfikaty itd. Z pozoru nas to ogranicza, a z drugiej strony, nie musimy się zastanawiać czy możemy umieścić gniazdka elektryczne nad zlewem, bo wiemy że zrobić nam tego nie wolno (dla naszego dobra). Jeśli tego nie wiemy, to wie to nadzór budowlany, który nie odbierze takiego wynalazku. I w ten oto sposób dowiedziałam się czegoś nowego o sobie 😊 mianowicie – fakt że jestem w stanie, bez zbędnej refleksji, np. wsiąść do samolotu, korzystać z zaawansowanych technologii, procedur medycznych itd. wynika z wielkiego zaufania do tych wszystkich procedur, procesów nadzoru i ich ciągłego doskonalenia. Bo wiem że te wszystkie firmy, organizacje, nie zaprzestają działań aby ich produkty, usługi, były coraz lepsze, bezpieczniejsze.

Chcesz uzyskać wsparcie w ochronie Bezpieczeństwa IT Twojej firmy? Skorzystaj z usług naszych ekspertów – nie tylko w zakresie norm ISO, ale także stanu insfrastrukry sieci, serwerów, czy zgodności licencyjnej poduktów. Dowiedz się więcej już teraz >