Doradztwo on-line


W dziale Doradztwo on-line zebraliśmy najczęściej pojawiające się lub najciekawsze pytania, które zadali nam nasi Klienci podczas wdrożeń czy też w ramach naszej stałej opieki nad systemami naszych Klientów. Nasi Konsultacji podjęli próbę usystematyzowania pytań i odpowiedzi i efekt tej pracy znajduje się poniżej. Mamy nadzieję, że informacje tutaj uzyskane okażą się pomocne.

Żeby zobaczyć tekst odpowiedzi należy kliknąć na treść pytania. Odpowiedź na to pytanie zostanie wyświetlona poniżej.

ISO 9001

W trakcie audytu certyfikującego będzie przeprowadzona rozmowa z przedstawicielem zarządu firmy. Oprócz polityki jakości, jaki zakres pytań trzeba brać pod uwagę?

Podczas audytu Najwyższego Kierownictwa należy się spodziewać pytań dotyczących przede wszystkim pkt 5. Odpowiedzialność kierownictwa. Mogą one dotyczyć:- planowania, budżetowania dla całej firmy – odpowiedzialności, uprawnień i komunikacji – w jaki sposób są ustalane, co jest brane pod uwagę podczas ich ustanawiania itp, – celi jakości i ich osiąganie – przeglądu kierownictwa (raport z przeglądu), a szczególnie o mierniki celów jakości oraz działania, które wyniknęły z przeglądu… Drugim punktem jest pkt 6. Zarządzanie zasobami. Pytania mogą dotyczyć zapewnienia zasobów – czy są wystarczające (ilość, rodzaj, kompetencje itp) oraz szkoleń – ale nie szczegółowo, tylko bardziej pod kątem planowania (budżet) itp.

Czy w związku z nowelizacją normy ISO 9001:2000 na normę ISO 9001:2008 certyfikat który otrzymaliśmy jest nadal ważny? 2) Do kiedy obowiązuje przejście na nowe wydanie normy? 3) Jakie zasadnicze lub nowe wymagania wprowadza norma ISO 9001:2008 4) Czy należy zgłosić do rejestracji?

Zgodnie z komunikatem nr 52 z dnia 6.01.2009 r., wydanym przez Polskie Centrum Akredytacji certyfikaty SZJ na zgodność w wymaganiami PN-EN ISO 9001:2001 tracą ważność po 15.11.2010 roku. Ważność certyfikatów, zgodnie z wytycznymi POLSKIEGO CENTRUM AKREDYTACJI przedstawia się następująco:- Certyfikaty SZJ na zgodność w wymaganiami PN-EN ISO 9001:2001 tracą ważność po 15.11.2010 roku. – Do 15.11.2009 certyfikacja/ recertyfikacja może odbywać się w oparciu o wymagania PN-EN ISO 9001:2001. – Po 15.11.2009 nowa certyfikacja, bądź wznowienia będą prowadzone tylko w oparciu o wymagania IS0 9001:2008 lub krajowy odpowiednik (PN-EN ISO 9001:2009). W związku z tym wydaje mi się, że podczas któregoś z audytów nadzoru zostaliście Państwo certyfikowani na nową normę, tyle że nie został Wam wydany nowy certyfikat, ale dla pewności należy zapytać jednostkę certyfikującą. Nowe wydanie normy nie wprowadza nowych wymagań, raczej doprecyzowuje istniejące, m.in:- przywiązuje większą uwagę do zgodności z prawem – zwraca większą uwagę na procesy podzlecane na zewnątrz – dokumenty pochodzące z zewnątrz – rozluźnia nieco wymagania związane z oceną satysfakcji klienta – itp. W większości firm posiadajacych ‘starą’ 9001 nie ma konieczności wprowadzania zmian, co najwyżej drobne korekty – dlatego podejrzewam, że już przeszliście audyt na ‘nową’ normę niezauważalnie.

Na czym polega dostosowanie dokumentacji systemowej do wymogów nowej normy ISO 9001:2008? Przykłady? Może punkty pomocne przy analizowaniu dokumentacji?

Generalnie zmiany dotyczyły doprecyzowania niejasnych wymagań, podkreślenia dużej swobody organizacji w sposobie dokumentowania, mierzeniu procesów, badania satysfakcji klienta itp. Wydanie z 2008/2009 roku nie zawiera nowych wymagań! Poniżej opisane są główne zmiany w normie ISO 9001:2008.1. Wymagania prawne. Podstawową zmianą w ISO 9001:2008 jest podkreślenie konieczności spełniania wymagań prawnych i innych. Uwaga: spełnienie wymagań prawnych i innych nie oznacza konieczności spisania wymagań prawnych dotyczących wyrobu, niemniej jednak należy udowodnić znajomość przepisów mających zastosowanie do naszego wyrobu.2. Określenie procesów (pkt. 4.1 Wymagania ogólne) Poprzednie wydanie normy nakazywało „identyfikację procesów”, w obecnym wydaniu należy „określić procesy”. Określenie oznacza w tym przypadku pokazanie przebiegu procesu, wskazanie wejść i wyjść z procesu, uczestników procesu itp itp. 3. Mierniki procesów. W pkt. 4.1.e) norma wymaga monitorowania i mierzenia procesów, tam gdzie ma to zastosowanie, co oznacza, że nie należy tworzyć mierników za wszelką cenę, nawet dla mniej istotnych procesów – nie wszystkie procesy muszą mieć mierniki! 4. Nadzór nad procesami zewnętrznymi. Rodzaj i zakres nadzoru jaki należy zastosować nad takimi realizowanymi na zewnątrz procesami, powinien być określony w systemie zarządzania jakością – z zapisu wprawdzie nie wynika wprost konieczność udokumentowania zakresu, ale wydaje się to wymagane. 5. Nadzór nad dokumentacją. Podkreślona została dowolność formy i postaci dokumentacji systemowej. Wymagana jest identyfikacja dokumentów pochodzących z zewnątrz. 6. 8.2.4 Monitorowanie i pomiary wyrobu. Należy utrzymywać dowód spełnienia kryteriów przyjęcia – potwierdzenie, że na poszczególnych etapach realizacji wyrobu spełnia on stawiane mu wymagania. Podsumowanie: W nawiązaniu do pytania o konieczność wprowadzania zmian do dokumentacji w związku z nowym wydaniem normy nie narzuca ona nowych wymagań dokumentacyjnych w stosunku do wydania z 2000/2001 roku. Zmiany zależą od dotychczas przyjętego sposobu zaprojektowania i wdrożenia systemu zarządzania jakością w organizacji. Niektóre organizacje mogą być zmuszone do opisania swoich procesów, inne do identyfikacji wymagań prawnych czy też nadzoru nad outsourcingiem czy też dokumentacją zewnętrzna.

Czy właścicielem procesu musi być osoba na stanowisku kierowniczym? Niektóre z procesów pomocniczych w naszej firmie wydaje mi się zasadnym przypisać do osób nie zajmujących takich stanowisk. Są to osoby odpowiedzialne i kompetentne, a we wspomnianych procesach posiadają dużą niezależność w firmie.

Norma nie nakłada żadnych wymagań dotyczących właścicieli procesów, natomiast wychodząc z założenia, że właściciel procesu zarządza swoim procesem musi on mieć uprawnienia do decydowania o przebiegu, monitorowaniu i dbaniu o realizację celów procesu. Bardzo często kierownictwo zapomina o nadaniu w/w uprawnień, wskazując tylko odpowiedzialności właściciela procesu. Odpowiadając na pytanie: Tak, właściciel procesu nie musi być członkiem kierownictwa, ale proszę zwrócić uwagę na to, czy wskazana osoba będzie miała realny wpływ na funkcjonowanie procesu, a w szczególności, czy w ramach nadanych jej uprawnień będzie mogła wziąć na siebie odpowiedzialność za realizację celów procesu i podejmowanie działań z tym związanych.

Które elementy normy ISO 9001 należy wskazać przy procesie reklamacji klientów, reklamacji do dostawców, a także przy procesie przyjmowaniu towaru na magazyn i kontroli jakościowej oraz ilościowej w odniesieniu do firmy handlowej.

Przy procesie reklamacji klientów bierze się pod uwagę punkty normy 7.2.3.- Organizacja powinna określić i wdrożyć skuteczne ustalenia związane z komunikacją z klientami dotyczącea) informacji o wyrobie,b) zapytań handlowych, postępowania z umowami lub zamówieniami, łącznie ze zmianami, c) informacji zwrotnej od klienta, w tym dotyczącą reklamacji klienta.Jak również punkt 8.3., który mówi o Nadzorze nad wyrobem w tym przypadku szczególnie: d) podjęcie działania odpowiedniego do rzeczywistych lub potencjalnych skutków niezgodności wówczas, gdy niezgodny wyrób został wykryty po dostawie lub po rozpoczęciu jego użytkowania. W przypadku reklamacji kierowanej do dostawców zastosowanie ma punkt normy 7.4.3, w którym mowa o weryfikacji zakupionego wyrobu, powinien on spełniać wyspecyfikowanie wymagania dotyczące zakupu, zastosowanie ma również punkt 7.4.1, w którym mowa o weryfikacji i ocenie dostawców, jeżeli reklamacje zdarzają się często, być może należy pomyśleć o zmianie dostawcy. W procesie przyjmowania wyrobu na magazyn, kontroli jakościowej i ilościowej tego wyrobu również ma zastosowanie punkt 7.4.3., dostarczony wyrób należy sprawdzić i zweryfikować, weryfikacja daje nam podstawę do oceny dostawców (pkt 7.4.1.) jak również spełnia kryteria punktu 8.4. czyli daje możliwość analizy danych i wyciągnięcia wniosków, czego efektem mogą być działania korygujące (8.5.2.) lub ciągłe doskonalenie (8.5.1.)

Które elementy systemu ISO 9001 muszą być udokumentowane?

Poniżej wymienione są elementy systemu ISO 9001, które wymagają formy udokumentowanej, zarówno jako dokumenty, jak i zapisy. Dodatkowo opisane są wymagania, które bardzo często w praktyce są dokumentowane, pomimo, że nie ma takiego wymogu w normie:- Zakres i granice – Zarządzenie, mail do pracowników- Decyzja o wdrożeniu – Zarządzenie, mail do pracowników- Powołanie przedstawiciela kierownictwa – Nie musi być udokumentowane, ale jest to zalecane- Powołanie właścicieli procesów – Nie musi być udokumentowane, ale jest to zalecane- Polityka jakości – Dokument polityki- Cele jakości – Opis procesu, karta procesu, księga procesów- Udokumentowane procesy j.w.- Kompetencje, uprawnienia, odpowiedzialności – Teczki osobowe, zakresy obowiązków, umowy o pracę, opisy zadań w dokumentacji procesów- Ocena dostawców – Wyniki oceny dostawców- Szkolenie dla auditorów – Formalnie nie jest wymagane dokumentowanie samych szkoleń, planów itp., ale wyniki, czyli uzyskane certyfikaty powinny być udokumentowane- Szkolenia, ocena skuteczności szkoleń (mających wpływ na jakość) – ocena skuteczności nie musi być udokumentowana!- Badanie satysfakcji klienta – Nie jest wymagane dokumentowanie wyników- Księga jakości – Dokument Księgi- Rejestr reklamacji – Dokumentowane powinny być wyroby niezgodne, a więc również reklamacje, i opis podjętych działań sposób załatwienia- Rejestr wyrobów niezgodnych – j.w.- Przegląd wymagań – Zapisy z przeglądu wymagań: umowy, oferty itp. i działań wynikających z przeglądu- Własność klienta – Zapisy z uszkodzeń i informacji dla klienta itp- Nadzorowanie wyposażenia do pomiarów- Zapisy dotyczące metody wzorcowania,- Zapisy wyników wzorcowania i sprawdzania- Zapisy o niezgodnym wyposażeniu- Projektowanie – WSZYSTKO! Każdy element i etap projektowania musi być udokumentowany w przypadku tych wymagań trudno jest być “nadgorliwym”!- Dowody systemowe- Plan auditów – Dokument- Raporty z auditów – Dokument- Działania korygujące i zapobiegawcze – Dokument/ lista/ rejestr działań- Ocena skuteczności działań korygujących i zapobiegawczych – Dokument- Przegląd zarządzania – Musi się odbyć- Raport z przeglądu zarządzania – Dokument- Procedury systemowe- Procedura nadzoru nad dokumentami – Procedura obowiązkowa- Nadzór nad zapisami Procedura obowiązkowa- Przeprowadzanie audytów wewnętrznych – Procedura obowiązkowa- Działania korygujące – Procedura obowiązkowa- Działania zapobiegawcze – Procedura obowiązkowa- Nadzór na wyrobem niezgodnym – Procedura obowiązkowa

Norma ISO 9001 wymaga badania satysfakcji klienta, proszę o podpowiedź, na co powinniśmy zwrócić uwagę, jakie aspekty, jakiego rodzaju pytania itp.?

Witam, jedna z czołowych firm zajmujących się problematyką badania satysfakcji klientów jako podstawę wymienia tzw, 10 przykazań związanych z realizacją, pozwolę je sobie przytoczyć jako przykład:1. Obiektywny dobór próby – próba powinna być reprezentatywna dla badanej populacji, tj. przede wszystkim dobrana losowo i bez uprzywilejowania jakiejkolwiek grupy.2. Stosowanie właściwej terminologii – czyli język klienta, nie badacza. Użyte sformułowania powinny odzwierciedlać wszystkie elementy procesu zakupów, a także sposób myślenia respondentów. Terminologia wewnętrzna firmy zlecającej badanie nie powinna być używana podczas procesu przeprowadzania wywiadów.3. Faza eksploracyjna i pilotaż – konieczna jest właściwa identyfikacja kryteriów oceny, zrozumienie terminologii klienta, a także przetestowanie kwestionariuszy.4. Określenie oczekiwań klienta – aby móc podać rekomendacje, musimy wiedzieć, jakiego poziomu współpracy klient oczekuje.5. Doświadczenie – należy zawsze korzystać z usług badaczy doświadczonych zarówno w badaniach satysfakcji rynku, jak i w badanej branży. Warto zwrócić uwagę na szkolenie dla ankieterów.6. Pytania otwarte – co należy poprawić? Dlaczego? To są pytania, które dodają „ludzkiego wymiaru” do suchych liczb w raporcie, często zaś umożliwiają właściwą interpretację danych7. Pytania o postawy i zachowania klientów – czy respondent będzie kontynuował zakupy u danego dostawcy, czy zarekomenduje go znajomym, a może zrezygnuje z jego usług? Takie dane pozwolą powiązać wskaźnik satysfakcji klientów z możliwymi skutkami dla działalności firmy.8. Odpowiednia skala ważności – łatwo można otrzymać wynik, że wszystko jest jednakowo ważne. Ustalenie ważności poszczególnych obszarów współpracy jest konieczne przy ustalaniu priorytetów.9. Analiza danych – zbyt często podstawową miarą jest po prostu uśredniony wynik, podczas gdy jeden klient zadowolony i jeden wściekły to nie to samo, co dwóch obojętnych. Należy sprawdzać rozkłady odpowiedzi, a także zastosować bardziej złożone techniki.10. Klasycznym błędem, który często robią badacze i klienci agencji jest zadawanie zbyt wielu pytań, ponadto listy z kryteriami oceny często zawierają kilkadziesiąt czynników. Taki sposób prowadzenia wywiadów męczy respondentów, a dane uzyskane z dwugodzinnego wywiadu z pewnością będą mało wiarygodne.

Proszę o informację, w jaki sposób najlepiej mierzyć poziom satysfakcji klientów (nie chodzi mi o ankiety). Współpracujemy z dużymi firmami, mamy kilku klientów i nie wyobrażam sobie aby dane z ankiet były miarodajne. Poza tym ocenę naszych usług ciężko zamknąć w kilku pytaniach. Ocena powinna być raczej opisowa. Jednak w tym przypadku ciężko będzie mierzyć zmiany w poziomie zadowolenia klientów. Proszę o poradę.

Trzymając się ściśle zapisów normy, czyli: …8.2.1 Zadowolenie klienta. Jako jeden z mierników funkcjonowania systemu zarządzania jakością, organizacja powinna monitorować informacje dotyczące percepcji klienta co do tego, czy spełniła jego wymagania. Należy określić metody uzyskiwania i wykorzystywania tych informacji. UWAGA Monitorowanie percepcji klienta może obejmować uzyskiwanie danych wejściowych ze źródeł taki, jak: badania zadowolenia klienta, dane klienta o jakości dostarczonych wyrobów, badania opinii użytkowników, analiza utraconych korzyści biznesowych, pochwały, roszczenie gwarancyjne, raporty dilerów…”znajdziemy tam wymagania dotyczące monitorowania percepcji klienta. Efektem monitorowania powinny być informacje umożliwiające nam ocenę a w konsekwencji poprawę tego postrzegania. Jeśli chodzi o metody pozyskiwania informacji, to już sama norma podpowiada nam źródła tych informacji (badania zadowolenia klienta, dane klienta o jakości dostarczonych wyrobów, badania opinii użytkowników, analiza utraconych korzyści biznesowych, pochwały, roszczenie gwarancyjne, raporty dilerów). Większość z w/w sposobów nie wymaga nawet bezpośredniego kontaktu z klientem – wystarczy m.in. przeanalizować posiadane dane dotyczące sprzedaży, reklamacji, roszczeń gwarancyjnych. Jeśli przeprowadzane są wizyty i spotkania z klientami to notatki z tych wizyt (opisowe) również spełniają wymagania normy. O skuteczności przyjętych rozwiązań badania świadczy możliwość podejmowania na ich podstawie działań doskonalących (korygujących i zapobiegawczych) w celu zwiększenia zadowolenia klienta.

Proszę o informację w jaki sposób zrealizować przegląd zarządzania, w sytuacji gdy nie mamy żadnych danych z pomiaru satysfakcji klientów. Poprzednio mierzyliśmy zadowolenie klientów poprzez niezależne badanie przeprowadzane przez magazyn mediowy, jednak z uwagi, ze ich działania nie były do końca obiektywne zrezygnowaliśmy z udziału w badaniu.

W zasadzie pośród danych wejściowych na przegląd kierownictwa mamy informacje zwrotne od klientów, a biorąc pod uwagę, ze mogą to być informacje dotyczące reklamacji, informacje od przedstawicieli handlowych, opiekunów klienta itd, czyli informacje które być może są już w Państwa posiadaniu, to nie widzę problemu ze spełnieniem w/w wymagania 5.6.2a). W przypadku braku reklamacji, stwierdzenie, że “w omawianym okresie nie zostały zgłoszone żadne reklamacje…” jest również w moim przekonaniu omówieniem informacji zwrotnej od klientów. Oczywiście warto poruszyć w raporcie kwestię zmiany sposobu badania ze względu na niską skuteczność uzyskiwanych wyników. Może np. indywidualne spotkania z klientami i pozyskiwanie ich opinii na nasz temat okaże się skuteczniejsze?

Poproszono mnie o przeprowadzenie audytu wewnętrznego polegającego na sprawdzeniu zgodności Księgi Jakości z Normą 9001:2008. Na co w szczególności mam zwrócić uwagę. Jakie elementy muszą znajdować się w nowej Księdze Jakości a nie musiały w poprzedniej?

Generalnie zmiany dotyczyły doprecyzowania niejasnych wymagań, podkreślenia dużej swobody organizacji w sposobie dokumentowania, mierzeniu procesów, badaniu satysfakcji klienta itp. Wydanie z 2008/2009 roku nie zawiera nowych wymagań! Poniżej opisane są główne zmiany w normie ISO 9001:2008.1. Wymagania prawne. Podstawową zmianą w ISO 9001:2008 jest podkreślenie konieczności spełniania wymagań prawnych i innych. Uwaga: spełnienie wymagań prawnych i innych nie oznacza konieczności spisania wymagań prawnych dotyczących wyrobu, niemniej jednak należy udowodnić znajomość przepisów mających zastosowanie do naszego wyrobu.2. Określenie procesów (pkt. 4.1 Wymagania ogólne)Poprzednie wydanie normy nakazywało „identyfikację procesów”, w obecnym wydaniu należy „określić procesy”. Określenie oznacza w tym przypadku pokazanie przebiegu procesu, wskazanie wejść i wyjść z procesu, uczestników procesu itp.3. Mierniki procesów. W pkt. 4.1.e) norma wymaga monitorowania i mierzenia procesów, tam gdzie ma to zastosowanie, co oznacza, że nie należy tworzyć mierników za wszelką cenę, nawet dla mniej istotnych procesów – nie wszystkie procesy muszą mieć mierniki!4. Nadzór nad procesami zewnętrznymi. Rodzaj i zakres nadzoru jaki należy zastosować nad takimi realizowanymi na zewnątrz procesami, powinien być określony w systemie zarządzania jakością – z zapisu wprawdzie nie wynika wprost konieczność udokumentowania zakresu, ale wydaje się to wymagane.5. Nadzór nad dokumentacją. Podkreślona została dowolność formy i postaci dokumentacji systemowej. Wymagana jest identyfikacja dokumentów pochodzących z zewnątrz.6. 8.2.4 Monitorowanie i pomiary wyrobuNależy utrzymywać dowód spełnienia kryteriów przyjęcia – potwierdzenie, że na poszczególnych etapach realizacji wyrobu spełnia on stawiane mu wymagania. Podsumowanie:W nawiązaniu do pytania o konieczność wprowadzania zmian do dokumentacji w związku z nowym wydaniem normy nie narzuca ona nowych wymagań dokumentacyjnych w stosunku do wydania z 2000/2001 roku. Zmiany zależą od dotychczas przyjętego sposobu zaprojektowania i wdrożenia systemu zarządzania jakością w organizacji. Niektóre organizacje mogą być zmuszone do opisania swoich procesów, inne do identyfikacji wymagań prawnych czy też nadzoru nad outsourcingiem czy też dokumentacją zewnętrzną.

Proszę o informację, w jaki sposób najlepiej mierzyć poziom satysfakcji klientów (nie chodzi mi o ankiety). Współpracujemy z dużymi firmami, mamy kilku klientów i nie wyobrażam sobie, aby dane z ankiet były miarodajne. Poza tym ocenę naszych usług ciężko zamknąć w kilku pytaniach. Ocena powinna być raczej opisowa. Jednak w tym przypadku ciężko będzie mierzyć zmiany w poziomie zadowolenia klientów. Proszę o poradę.

Trzymając się ściśle zapisów normy, czyli:…8.2.1 Zadowolenie klienta Jako jeden z mierników funkcjonowania systemu zarządzania jakością, organizacja powinna monitorować informacje dotyczące percepcji klienta co do tego, czy spełniła jego wymagania. Należy określić metody uzyskiwania i wykorzystywania tych informacji. UWAGA Monitorowanie percepcji klienta może obejmować uzyskiwanie danych wejściowych ze źródeł takich, jak: badania zadowolenia klienta, dane klienta o jakości dostarczonych wyrobów, badania opinii użytkowników, analiza utraconych korzyści biznesowych, pochwały, roszczenie gwarancyjne, raporty dilerów…”znajdziemy tam wymagania dotyczące monitorowania percepcji klienta. Efektem monitorowania powinny być informacje umożliwiające nam ocenę a w konsekwencji poprawę tego postrzegania. Jeśli chodzi o metody pozyskiwania informacji, to już sama norma podpowiada nam źródła tych informacji (badania zadowolenia klienta, dane klienta o jakości dostarczonych wyrobów, badania opinii użytkowników, analiza utraconych korzyści biznesowych, pochwały, roszczenie gwarancyjne, raporty dilerów). Większość z w/w sposobów nie wymaga nawet bezpośredniego kontaktu z klientem – wystarczy m.in. przeanalizować posiadane dane dotyczące sprzedaży, reklamacji, roszczeń gwarancyjnych. Jeśli przeprowadzane są wizyty i spotkania z klientami to notatki z tych wizyt (opisowe) również spełniają wymagania normy. O skuteczności przyjętych rozwiązań badania świadczy możliwość podejmowania na ich podstawie działań doskonalących (korygujących i zapobiegawczych) w celu zwiększenia zadowolenia klienta.

Proszę o informację, w jaki sposób Pełnomocnik Zarządu ds. Systemów Jakości może zapewnić upowszechnianie w całej organizacji świadomości dotyczącej wymagań klienta (pkt. 5.5.2 normy)

Pierwszym krokiem jest poznanie wymagań klienta, poprzez rejestrowanie i zbieranie informacji od klienta dotyczących zapytań handlowych, postępowania z umowami lub zamówieniami, łącznie ze zmianami, informacji zwrotnej, w tym dotyczącej reklamacji klienta jak również poprzez badanie satysfakcji klienta przez rozmowy, ankiety lub badania opinii użytkowników, analizy utraconych korzyści biznesowych, rejestrowania pochwał, roszczeń gwarancyjnych, raportów dilerów. Zadania te mogą być realizowane poprzez: Biuro Obsługi Klienta, środki masowego przekazu, Internet, telekomunikacja, poczta, prowadzone akcje uświadamiające. Posiadając niezbędną wiedzę dotyczącą wymagań klienta należy upowszechnić je wśród pracowników, zadanie to można realizować na wiele różnych sposobów poprzez np.:1.

Chciałbym się dowiedzieć jak powinno wyglądać udokumentowanie zgodności z normą w raporcie z auditu.

Ponieważ, zgodnie z ISO 19011 audit to systematyczny, niezależny i udokumentowany proces uzyskania dowodu z auditu oraz jego obiektywnej oceny w celu określenia stopnia spełnienia kryteriów auditu, a dowód to racjonalna podstawa uzyskiwania wiarygodnych i powtarzalnych wniosków. Raport z auditu powinien zawierać dowody, przede wszystkim na zgodność z normą. Odnosząc się do wytycznych i dobrych praktyk m.in. z normy ISO 19011 „Wytyczne dotyczące auditowania systemów zarządzania jakością i/lub zarządzania środowiskowego”oraz zgodnie z wytycznymi międzynarodowej organizacji IRCA, stanowiącej wymagania dla auditorów wiodących i zasad przeprowadzania audytów poniżej przedstawiam przykładowy fragment raportu z Audytu, który wg mnie spełnia wszystkie ww. kryteria. Zakupy 4.2.4; 7.4Organizacja podeszła do zagadnień zakupowych w sposób systemowy opierając swoje decyzje o wyborze dostawców na wynikach szacowania ryzyka oraz na kryteriach jakie zastosowała do oceny. Dokonano formalnej oceny dostawców, jej wyniki były dostępne.Do głównych dostawców, z których usług korzysta organizacja należą:xxxx- dostawca energii elektrycznej xxxx-dostawcy usług telekomunikacyjnych, dwóch dostawców zapewnia zastępowalność usług; itd. Kompletacja zamówień – zazwyczaj raz w miesiącu prowadzi osoba z biura.Zamówienia pod klientów dokonuje xxxx – zatwierdzeniem zamówienia zajmuje się Prezes. Osoba odbierająca odpowiada za kontrolę odbiorczą dostaw. Prowadzone to jest w systemie zamówień.Zweryfikowane dokumenty:•

Jak można określać miary satysfakcji klienta, czym można się posiłkować przy tym zadaniu?

Określenie miary satysfakcji klienta nie jest prostym zadaniem. Pomocna w tym może być systematyka dziesięciu domen Berry’ego – czynników satysfakcji klienta:1. Jakość – oceniana przez klienta w porównaniu do innych produktów bądź usług; brak defektów, a także merytoryczna wiedza personelu;2. Wartość – postrzegana przez klienta w odniesieniu do ceny i zdrowego rozsądku;3. Terminowość – dostarczanie produktu w uzgodnionym terminie;4. Otoczenie – bezpieczeństwo i organizacja punktu sprzedaży, wystrój miejsca sprzedaży;5. Dostępność – rozumiana też jako łatwość użycia, dogodna lokalizacja, godziny otwarcia punktu sprzedaży, komunikatywny sprzedawca;6. Efektywność – niewysoki poziom skomplikowania przy korzystaniu z usługi lub produktu; 7. Zachowania w bezpośredniej obsłudze klienta – nastawienie personelu, także wygląd personelu, dbałość o drobiazgi;8. Współpraca w firmie na rzecz obsługi klienta – pracownicy z różnych działów pomagają sobie, obsługując klienta;9. Poświęcenie na rzecz klienta – sposób, w jaki sprzedawca traktuje klienta, informowanie o wszelkich warunkach oraz zasadach zakupu i wykorzystania, również gotowość do wzięcia odpowiedzialności przez firmę, gdy produkt nie działa bądź nie spełnia oczekiwań; 10. Innowacyjność – produkt/usługa zawierają nowe udogodnienia, zapewniają nowe i nowoczesne możliwości.

1. W jaki sposób zapisuje się zmiany w dokumentacji ISO? Np., jeżeli dany proces ( procedura) ma swojego właściciela np. PZ albo PSJ i wskazane osoby odpowiedzialne za jego realizację np. Prac Admistracyjno.-Biurowych lub Pełnomocnik ds. Jakości, w ramach procedury mamy wykaz załączników ( dokumentów). Która z osób wpisuje zmiany w dokumentach i czyj podpis powinien widnieć na tym dokumencie? Do tej pory dokumenty ( w dokumentacji ISO) podpisywał Prezes i audytor zewnętrzny. Czy ja, jako PSJ mogę obok Pana Prezesa podpisywać się pod każdą zmianą wprowadzoną w dokumenty proceduralne?

2. Jeżeli zmieniamy dokument, nadajemy mu nowy numer wersji, czy poprzednią wersję archiwizujemy ( w formie papierowej czy elektronicznej), czy w dokumentach funkcjonują obie wersje?

3. Kto wpisuje zmiany w Księdze Jakości i kto je podpisuje?

Zasady nadzoru nad dokumentacją (zmiany, wprowadzanie, wycofywanie dokumentów, archiwizacja) powinny być opisane w procedurze nadzoru nad dokumentacją (nazwa procedury może być inna!) pkt 4.2.3 ISO 9001. Sama norma ISO 9001 nie narzuca konkretnych sposobów postępowania z dokumentacją, ale spróbuję odnieść się do pytań na podstawie dobrych praktyk, z którymi miałem okazję się zapoznać w wielu organizacjach. Ad 1. Zazwyczaj za dokumentację, która funkcjonuje w procesie powinien odpowiadać Właściciel tego procesu. To on zarządza procesem, co również oznacza ustalanie zasad postępowania, które mogą być udokumentowane w organizacji. Odpowiedzialność Właściciela procesu oznacza, że to on zatwierdza/akceptuje dokumentację, ktoś inny może ją przygotować i/lub sprawdzić. Natomiast zupełnie nie rozumiem, dlaczego dokumentację wewnętrzną firmy podpisywał audytor zewnętrzny!? Audytorowi zewnętrznemu NIC DO TEGO, jaką dokumentację stosuje firma i w jaki sposób nią zarządza – on sprawdza, czy przyjęty sposób jest zgodny lub nie z wymaganiami normy. Jeśli audytor podpisuje dokumentację, tzn., że jest on na równi z Prezesem – ponieważ Prezes nie może dokonać zmiany bez audytora! Nie powinno tak być!Wskazane jest, żeby PSJ miał udział w weryfikacji dokumentacji przed ostatecznym zatwierdzeniem, chociażby, dlatego, żeby np. Właściciel procesu Zakupy nie zrezygnował z oceny dostawców, bo mu to przeszkadza :)Ad 2. Zazwyczaj poprzednią wersję się archiwizuje, ale znów to my ustalamy zasady. Jeśli poprzednie wersje mogą się nam do czegoś przydać (np. w procesie reklamacyjnym) to przechowujemy i udostępniamy. Ważne jest, żeby obie wersje były jasno i czytelnie oznaczone, która jest aktualna i obowiązująca, a która archiwalna żeby nikt nie popełnił błędu posługując się niewłaściwą dokumentacją. Forma archiwizacji (papierowa czy elektroniczna nie ma znaczenia, chyba, że są specyficzne wymagania zewnętrzne – np. w procesie reklamacyjnym musimy udostępniać oryginalne, zatwierdzone procedury klientom).Ad 3. I znów – zgodnie z procedurą nadzoru nad dokumentacją. Zazwyczaj robi to PSJ a zatwierdza Prezes.

1. Jak winna wyglądać procedura oceny dostawców? Na jakie kategorie powinni być dostawcy podzieleni?
2. W przypadku których dostawców potrzebne jest wcześniejsze przetestowanie wyrobu?
3. W jaki sposób testować dostawców podzespołów, o których sprawności części można dowiedzieć się dopiero po złożeniu kompletnego urządzenia?(proszę o podanie kryteriów oceny)
4. Kto powinien być włączony w ocenę?
5. Jakie dokumenty powstają z oceny dostawców?
6. Kto powinien podpisywać się pod protokołem z oceny dostawców?

1. Norma ISO 9001 nie wymaga procedury oceny oraz dzielenia na kategorie. Jedynym wyznacznikiem różnic pomiędzy dostawcami jest ich wpływ (a więc i wpływ dostarczanego produktu) na jakość naszego produktu i od tego powinien być uzależniony sposób (restrykcyjność) oceny – im większy wpływ tym np. więcej parametrów bierzemy pod uwagę.2. I znów norma nie wymaga wprost testowania wyrobu, ale wymaga weryfikacji zakupionego wyrobu (7.4.3) a jednym ze sposobów weryfikacji może być oczywiście jego testowanie.3. Ocena dostawcy może być zakończona np. dopiero po pozytywnych wynikach testów całego urządzenia – przed jego uruchomieniem dla Klientów (zwolnieniem wyrobu).Kryteria oceny niestety zależą od tego, co kupujemy – najważniejsze kryteria, to kryteria świadczące o przydatności zakupionego towaru, np. skład chemiczny, rodzaj substancji, wymagane aprobaty, certyfikaty, a potem najczęściej spotykane: czas realizacji, gwarancja, sposób płatności, zapewnienie zdolności technicznej realizacji, wiedza i doświadczenie itp.4. Kto dokonuje oceny jest oczywiście w pełni zależne od organizacji – ale zazwyczaj jest to osoba, która będzie wykorzystywała zakupiony towar.5. Muszą być udokumentowane wyniki ocen dostawców oraz wszelkich niezbędnych działań wynikających z oceny – czyli informacja o dostawcach, którzy spełniają nasze oczekiwania oraz np. dodatkowe informacje o warunkowym dopuszczenie, ale pod warunkiem dostarczenia informacji o sposobach wewnętrznej kontroli jakości u naszego dostawcy, czy też z naszej strony konieczność przeprowadzenia dodatkowego audytu u dostawcy.6. Przede wszystkim oceniający, mogą oczywiście też inni (np. członkowie komisji) – jest to całkowicie zależne od organizacji.

Pytanie 1
Wg normy: organizacja powinna zapewnić, że zakupiony wyrób spełnia wyspecyfikowane wymagania dotyczące zakupu. Jak rozumiem listę tych wymagań tworzy sama organizacja i umieszcza na niej to co jest dla niej ważne- czy mogą to być tylko wymagania dotyczące np ceny wyrobu, szybkości dostawy, jakości tej dostawy itp?

Pytanie 2
Niektóre organizacje w swoich kryteriach pytają również dostawcę o to czy np posiada system zarządzania jakością. Moja firma zajmuje się syntezą związków chemicznych. Jeśli chodzi o zakup substratów do reakcji chemicznych wierzymy w to co napiszą dostawcy na certyfikatach dołączonych do nich (jeśli chodzi o czystość chemiczną itp). Czy po wprowadzeniu Systemu Jakości w jakiś sposób będziemy musieli je badać przed użyciem aby upewnić się, że dostawca faktycznie sprzedał nam to co chcieliśmy? Czy możemy opierać się jedynie na dokumentach wystawionych przez Dostawcę?

Odpowiedź 1Organizacja powinna stworzyć listę kwalifikowanych dostawców , to znaczy takich ,których wcześniej sprawdziła w.g kryteriów ,które sama określiła . Kryteria powinny zawierać te elementy ,które są istotne dla organizacji, a więc jeśli uznaliście ,że kryteriami będą :cena wyrobu, szybkość dostawy oraz jakość tej dostawy to znaczy ,że to jest ważne z punktu widzenia realizacji wyrobu . Norma nie narzuca organizacjom jakie kryteria mają zastosować wobec swoich dostawców. Organizacja z punktu widzenia normy ma obowiązek dokonywać okresowej oceny dostawców i jeśli nie spełniają przyjętych kryteriów należy weryfikować listę i szukać innych dostawców . Jeśli jest to niemożliwe , bo np. jest tylko jeden taki producent lub dostawca na dostępnym rynku to należy podjąć działania, które uświadomią dostawcy jakie są wymagania i oczekiwania wobec dostarczanego surowca, materiału itp.
Odpowiedź 2Jeśli posiadacie jako organizacja kwalifikowanych tzn, sprawdzonych dostawców to znaczy ,że dlatego są kwalifikowani bo do tej pory Was nie zawiedli. Ponadto jeśli do dostaw dołączone są certyfikaty lub deklaracje zgodności , atesty to znaczy ,że dostawca dostarcza zamówione materiały lub surowce zgodnie z wymaganiami zawartymi w Waszym zamówieniu lub umowie. Dostawca wydając certyfikat ,atest lub deklaracje zgodności bierze odpowiedzialność prawną za parametry i charakterystykę dostarczanego materiału bądź surowca. Norma nie wymaga aby materiały i surowce dostarczane przez dostawcę były weryfikowane pod kątem jego np, składu chemicznego jeżeli dostawca potwierdza certyfikatem bądź atestem ,że zamówiony przez Was materiał /surowiec jest zgodny z tymi parametrami jakie zostały przez Was określone w zamówieniu. Jeśli jednak posiadacie Państwo jakiekolwiek wątpliwości, to możecie okresowo zaplanować działania zapobiegawcze polegające na sprawdzaniu wybranej przez Was dostawy . Nie ma jednak takiego wymagania które jednoznacznie mówiło by o tym ,że każdą dostawę należy u Was sprawdzać .Po co wówczas byłyby te certyfikaty i atesty od dostawcy?? Weryfikacja dostawy to sprawdzenie pod kątem ilości i jakości w.g specyfikacji lub zamówienia . Certyfikaty i atesty są częścią specyfikacji i potwierdzają ne parametry oraz skład surowca.

1. Czy zawsze mogę prosić o księgę jakości jednostki audytowanej, aby poznać procedury danego działu, który będę audytowała?
2. Moje pytanie dotyczy laboratorium firmy w której pracuję. Mamy tu zestaw narzędzi, ale nie wszystkie używamy i nie wszystkie są systematycznie wzorcowane. Czy, powinnam usunąć karty narzędzi nie używanych i wyjąć je z rejestru? Czy powinnam założyć rejestr narzędzi nie używanych?

Audytor zawsze może a wręcz powinien sięgać do dokumentacji obszaru, który audytuje – dotyczy to również księgi jakości laboratorium. Zgodnie z wytycznymi ISO 19011 kryteriami audytu, czyli podstawą do oceny funkcjonowania systemu zarządzania oprócz normy, są również wewnętrzne procedury. Wszystkie używane narzędzia muszą być nadzorowane. Jeżeli posiadacie narzędzia, które nie są używane i w związku z tym nie są wzorcowane należy uniemożliwić ich przypadkowe użycie. Zgodnie z pkt. 7.6 dodatkowo należy oznaczyć status urządzenia, czyli w tym przypadku jeśli są one dostępne, to oznaczenie powinno jednoznacznie wskazywać, że nie jest ono wzorcowane. A najlepiej je usunąć (zamknąć?).Nie ma potrzeby zakładania rejestru narzędzi nieużywanych, lepiej oznaczyć same urządzenia lub je skutecznie zabezpieczyć przed użyciem.

Czy przegląd systemu zarządzania jakością musi się odbywać w formie spotkania kierownictwa? (norma jasno tego nie mówi) Czy też może być to mailowe przesłanie do Pełnomocnika wszystkich danych wejściowych przez kierownictwo i odesłanie im podsumowania oraz zatwierdzenie przez Prezesa?

Formalnie nie musi się odbyć spotkanie, forma w której pełnomocnik zbiera informacje i przekazuje podsumowanie w formie raportu z przeglądu do Prezesa Zarządu jest często praktykowana i w pełni akceptowana przez Audytorów, proszę tylko pamiętać, że taki raport powinien być podpisany przez prezesa, jako ‘zaakceptowany’ – powinniśmy móc wykazać, że się z nim zapoznał.

Czy kierownicy muszą mieć w zakresie obowiązków zapis mówiący o przygotowywaniu i aktualizacji dokumentów ISO?

Nie muszą, ale w takiej sytuacji system musi być przygotowany na odpowiedź, kto i w jakim zakresie przygotowuje i nadzoruje obowiązującą dokumentację w firmie? (końcówka ISO tu nie jest potrzebna – wdrożenie systemu oznacza, że cała dokumentacja funkcjonująca w organizacji staje się dokumentacją “ISO”). Zazwyczaj jest to opisane w procedurze “Nadzoru nad dokumentacją”.Podsumowując: odpowiedzialność za przygotowanie i aktualizację dokumentacji musi być jasno i skutecznie określona. Można to zrealizować poprzez zapisy w zakresach obowiązków, w procedurach, regulaminach organizacyjnych itp. Zalecana jest forma udokumentowania odpowiedzialności, ale nie jest wymagana.

W Firmie odbył się audyt przeprowadzony przez jednostkę certyfikującą. Proszę o pomoc w kwestii działań, poauditowych, które powinny zostać podjęte, gdzie zapisać to co się zdarzyło.

Najlepszym źródłem informacji jest sam audytor w trakcie audytu, a dopiero potem zapisy w jego raporcie.
1. Obszary do poprawy – podniesienie kwalifikacji audytorów wewnętrznych. Odp: Sugeruję zorganizowanie szkolenia doskonalącego dla audytorów wewnętrznych – zapis w raporcie pojawił się najprawdopodobniej z dwóch powodów: od dawna nie było żadnego szkolenia dla audytorów, lub raporty z audytu są niskiej jakości.
2. Doskonalenie metodologii auditu wewnętrznego z naciskiem na uwzględnienie jako jeden z celów auditu doskonalenie systemu zarządzania. Odp: w powiązaniu z pierwszym zapisem wydaje mi się, że audytor sugeruje jednak, że przeprowadzane audyty są słabe: np.: obejmują tylko wybrane fragmenty, brak jest dowodów na zgodność/niezgodność, brak opisów, ustaleń itp. Rozwiązaniem może być organizacja szkoleń i warsztatów doskonalących (jak w pkt. 1) lub zlecenie przeprowadzenia audytów wewnętrznych na zewnątrz (np. nam lub podobnej firmie)
3. Doskonalenie metodologii projektowania z naciskiem na uwzględnienie jako jeden z celów przeglądu doskonalenie systemu zarządzania. Odp.: Ten zapis jest mocno niejasny – nie bardzo wiem, co audytor miał na myśli wiążąc doskonalenie projektowania z przeglądem doskonalenia!? O co może chodzić:- o poprawienie metodologii projektowania – coś w projektowaniu audytorowi nie podobało się – wskazany dowód może pomóc w zidentyfikowaniu tego miejsca – i tu trzeba coś poprawić;- o uwzględnienie w przeglądach projektowania (wymaganych normą) kwestii doskonalenia (!?)- o uwzględnienie w przeglądach doskonalenia systemu zarządzania (może chodzi o przegląd zarządzania lub może Państwa system zakłada przeprowadzanie czegoś takiego jak przeglądy doskonalenie systemu zarządzania – norma wymaga przeglądu zarządzania) doskonalenia. Ostatnie zagadnienie krąży wokół tematu doskonalenia w projektowaniu – albo jego braku, albo doskonalenie występuje,ale “poza” systemem.

ISO 27001

W związku z planowanym przez nas wdrożeniem ISO 27001 proszę o więcej informacji na ten temat – wymagania prawne, jakie dokumenty będą potrzebne w związku z wdrożeniem itd. Może mogą Państwo udostępnić normę z ww. zakresu?

Jeśli chodzi o wymagania prawne, to oczywiście przede wszystkim należy zidentyfikować specyficzne wymagania prawne, które dotyczą firmy, ze szczególnym uwzględnieniem ochrony danych osobowych oraz praw autorskich (legalności oprogramowania). Najlepiej zrobić to w postaci rejestru, zestawienia. W skład wymaganej dokumentacji wchodzi: – polityka bezpieczeństwa – polityka dostępu, zasady postępowania, klasyfikacja informacji, zarządzanie incydentami, polityka kopii zapasowych, ciągłość działania itp. – metodyka szacowania ryzyka – raport z analizy ryzyka – plan postępowania z ryzykiem – pomiar skuteczności zabezpieczeń – plany ciągłości działania – procedury systemowe: nadzór nad dokumentami i zapisami, audyty wewnętrzne, działania korygujące i zapobiegawcze itp. – deklaracja stosowania i inne wynikające z wyboru zabezpieczeń w deklaracji stosowania

Na kim spoczywa obowiązek zgłoszenia zbioru danych osobowych do rejestracji?

Na administratorze danych spoczywa wynikający z art. 40 ustawy obowiązek zgłoszenia zbioru danych osobowych do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych. Wyjątki od tej zasady wyliczone zostały w art. 43 ust. 1 ustawy. Każdy administrator przed zgłoszeniem zbioru powinien sprawdzić, czy prowadzony przez niego zbiór nie podlega, w myśl tych przepisów, zwolnieniu z obowiązku zgłoszenia do rejestracji. Zwolnienie z tego obowiązku nie oznacza zwolnienia z pozostałych obowiązków wynikających z przepisów o ochronie danych osobowych

W związku z tworzeniem księgi procedur bezpieczeństwa, chciałbym się dowiedzieć jak powinny mniej więcej wyglądać zasady współpracy z osobami trzecimi, które będą przebywać na terenie spółki.

Zasady współpracy z osobami trzecimi. Goście oraz inne osoby przebywające na terenie Spółki nie będące pracownikami są zobowiązane do przestrzegania następujących zasad: – reguł bhp;- reguł bezpieczeństwa przeciwpożarowego;- wpisania się w księdze gości, tam gdzie jest to wymagane. Każda osoba nie będąca pracownikiem Spółki, która wykonuje prace zlecone, z którymi wiąże się dostęp do informacji chronionych przez Spółkę zobligowana jest do podpisania oświadczenia o zachowaniu poufności. Osoby niezatrudnione w Spółce mogą otrzymać od Pełnomocnika Bezpieczeństwa Informacji lub Właściciela Aktywu prawo dostępu fizycznego lub/i logicznego do informacji, jeżeli jest to niezbędne do realizacji obowiązków Spółce wobec klientów lub do bieżącego funkcjonowania Spółki;- dają one gwarancję zachowania poufności;- podpisały ze Spółką oświadczenie o zachowaniu tajemnicy przedsiębiorstwa lub umowę określającą odpowiedzialność za naruszenie poufności. Osobom tym powinno zostać odebrane prawo dostępu po wygaśnięciu przyczyny udzielenia w/w dostępu np. po wykonaniu zleconej pracy.

Jak oceniać stan techniczny zabezpieczeń (zgodnie z wymaganiami normy ISO 27001)? Czy testy penetracyjne są jedyną dopuszczalną formą?

Testy penetracyjne to działania polegające na przeprowadzeniu symulowanego ataku na system teleinformatyczny. Cele testów penetracyjnych mogą być zróżnicowane, np. ogólne wyszukiwanie podatności, próba zdobycie konkretnej informacji lub też przełamanie konkretnych zabezpieczeń. Efektem takiego ataku powinno być zidentyfikowanie wszystkich słabych punktów systemu oraz wskazanie sposobów, dzięki którym potencjalny napastnik może naruszyć bezpieczeństwo badanego systemu teleinformatycznego. Tam gdzie to możliwe zazwyczaj wskazuje się również sposoby załatania konkretnej podatności..Testy penetracyjne nie są jedyną metodą oceny zabezpieczeń. Występują inne metody oceny stanu technicznego zabezpieczenia zasobów systemu informatycznego zgodne z normą ISO 27001.- testy kontrolne (sprawdzanie poprawności instalacji i konfiguracji systemu)- analiza systemowa zabezpieczeń (ocena bezpieczeństwa systemu informatycznego, np. przez firmę wdrażającą ISO 27001)- okresowe przeglądy stanu zabezpieczeń,- testy penetracyjne (identyfikacja słabych punktów systemu zabezpieczeń, symulacja włamań),

Jak powinna wyglądać księgę procedur bezpieczeństwa? Czy istnieje jakiś spis dobrych praktyk w zakresie jej tworzenia.

Księga procedur bezpieczeństwa powinna być dostosowana do konkretnej organizacji, trudno więc wskazać jakiś uniwersalny przykład. Najważniejsze aspekty, które powinny być w niej poruszone, to:- Struktura zarządzania bezpieczeństwem i podział odpowiedzialności, np.:- Zasady współpracy z innymi podmiotami;- Kontrola dostępu, np.: – Kontrola dostępu do pomieszczeń biurowych – Kontrola dostępu do serwerowni…- Zasady nadawania uprawnień użytkowników- Zasady i korzystanie z haseł w systemach informatycznych- Ogólne zasady tworzenia bezpiecznych haseł- Zasady korzystania z systemów informatycznych- Logowanie i kończenie pracy, – Instalowanie programów- Zasady pracy na odległość- Zasady bezpieczeństwa informacji przy korzystaniu z poczty elektronicznej- Zarządzanie wymiennymi nośnikami- Kopie zapasowe- Klasyfikacja informacji- Podział rodzajów informacji w firmie, – Polityka czystego biurka- Polityka czystego ekranu- Zarządzanie incydentami- Zgodność- Wykaz aktów prawnych dotyczących firmy.

Proszę o przykład wpisanej do polityki bezpieczeństwa procedury przeglądu kierownictwa wg ISO 27001, jakie dane wejściowe i wyjściowe uwzględnić?

przykład:Przeglądy SZBI realizowane przez kierownictwo. Kierownictwo Firmy przeprowadza przeglądy SZBI organizacji nie rzadziej niż raz w roku w celu zapewnienia jego ciągłej poprawności, odpowiedniości i skuteczności. Przegląd zawiera ocenę możliwości doskonalenia i potrzeby zmian w SZBI, w tym deklaracji Zarządu i celów bezpieczeństwa. Wyniki przeglądów są udokumentowane na formularzu „Raport z przeglądu SZBI”, a odpowiednie zapisy są przechowywane. Dane wejściowe do przeglądu: * wyniki audytów i przeglądów SZBI, * informacje zwrotne od zainteresowanych stron, * techniki, produkty i procedury, które mogłyby być zastosowane w organizacji w celu ulepszenia realizacji i skuteczności SZBI, * status działań korygujących i zapobiegawczych, * podatności lub zagrożenia, do których nie było odpowiedniego odniesienia w poprzednim oszacowaniu ryzyka, * wyniki pomiarów efektywności, * działania podjęte na skutek poprzednich przeglądów realizowanych przez Zarząd, * jakiekolwiek zmiany, które mogłyby dotyczyć SZBI, * zalecenia dotyczące doskonalenia. Wyniki przeglądu realizowanego przez Zarząd powinny zawierać informacje dotyczące: * doskonalenia skuteczności SZBI, * uaktualnienia planu szacowania ryzyka i postępowania z ryzykiem, * modyfikacji procedur i zabezpieczeń dotyczących bezpieczeństwa informacji, jeśli to konieczne, w celu reakcji na wewnętrzne lub zewnętrzne zdarzenia, które mogą mieć konsekwencje dla SZBI, w tym zmiany: o wymagań biznesowych, o wymagań bezpieczeństwa, o procesów biznesowych mających wpływ na istniejące wymagania biznesowe, o przepisów prawa i wymagań nadzoru, o zobowiązań związanych wynikających z umów, o poziomów ryzyka i/lub kryteriów akceptacji ryzyka, * wymaganych zasobów, * udoskonalenia metod pomiaru efektywności zabezpieczeń.

W jaki sposób powinna być prowadzona dokumentacja z testów?Czy dopuszczalne jest posiadanie tylko elektronicznych protokołów z testów?Jak często testować, na jakie kroki dzielić, testować tylko podczas tworzenia kroków milowych, czy podczas tworzenia każdej zmiany?

W przypadku wyrobów medycznych dokumentacja powinna być prowadzona w sposób zapobiegający nieautoryzowanym zmianom, więc jeśli będzie przechowywana w postaci elektronicznej, to powinna zostać odpowiednio zabezpieczona. Trudno jest odpowiedzieć na pytanie kiedy i jakie zmiany powinny być walidowane. Niemniej jednak każda zmiana powinna być testowana i odbierana, należy zarządzać konfiguracją, co ma również bezpośrednie przełożenie na zarządzanie zmianami. W zależności od wpływu zmiany na wyrób końcowy (analiza ryzyka) należy zastosować odpowiednie zasady postępowania:- w jakich przypadkach tylko testujemy – weryfikacja (zawsze!)- w jakich przypadkach walidujemy- dodatkowo, nawet jeśli nie było zmian czy incydentów – jaki jest nasz pomysł na okresową, regularną walidację.

Normy wymagają zapewnienia zgodnego z prawem działania, wymagają żeby przypisy prawa były identyfikowane, aktualizowane i okresowo przeglądane. Czy mógłbym otrzymać jakąś przykładową listę wymagań prawnych? Chodzi mi o spis ustaw, bądź przepisów, do których należałoby zajrzeć w przypadku większości organizacji

Witam, nie wiem czy dokładnie o to chodzi:Wykaz aktów prawnych * ustawa o ochronie danych osobowych (Dz. U. z 2002, Nr 101, poz.926 z późn., zm.) * ustawa z dnia 15 września 2000 r. Kodeks spółek handlowych (Dz.U. z 2000r., Nr 94, poz. 1037, ze zm.); * ustawa z dnia 20 sierpnia 1997 r. o Krajowym Rejestrze Sądowym (tekst jednolity: Dz.U. z 2001r., Nr 17, poz. 209, ze zm.); * ustawa z dnia 23 kwietnia 1964 r. Kodeks Cywilny (Dz.U. z 1964, nr 16, poz. 93, ze zm.); * ustawa z dnia 27 lipca 2002 r. o szczególnych warunkach sprzedaży konsumenckiej oraz o zmianie Kodeksu cywilnego (Dz.U. z 2002r., Nr 141, poz. 1176, ze zm.); * ustawa z dnia 12 grudnia 2003 r. o ogólnym bezpieczeństwie produktów (Dz.U. z 2003r., Nr 229, poz. 2275); * ustawa z dnia 11 marca 2004 r. o podatku od towarów i usług (Dz.U. z 2004r., Nr 54, poz. 535, ze zm.); * ustawa z dnia 15 lutego 1992 r. o podatku dochodowym od osób prawnych (tekst jednolity: Dz.U. z 2000r., Nr 54, poz. 654, ze zm.); * ustawa z dnia 9 września 2000 r. o podatku od czynności cywilnoprawnych (tekst jednolity: Dz.U. 2005, Nr 41, poz. 399, ze zm.); * ustawa z dnia 12 stycznia 1991 r. o podatkach i opłatach lokalnych (tekst jednolity: Dz.U. z 2006r., Nr 121, poz. 844, ze zm.); * ustawa z dnia 26 czerwca 1974 r. Kodeks pracy (tekst jednolity: Dz.U. z 1998r., Nr 21, poz. 94, ze zm.); * ustawa z dnia 7 lipca 1994 r. Prawo budowlane (tekst jednolity: Dz.U. z 2003r., Nr 207, poz. 2016 ze zm.); * ustawa z dnia 22 sierpnia 1997 r. o ochronie osób i mienia (tekst jednolity: Dz.U. z 2005r., Nr 145, poz. 1221, ze zm.). Kodeks Karny * O prawie autorskim i prawach pokrewnych * O podpisie elektronicznym * O ochronie baz danych * O świadczeniu usług drogą elektroniczną Prawo Telekomunikacyjne * O informatyzacji działalności podmiotów realizujących zadania publiczne * O elektronicznych instrumentach płatniczych * O gromadzeniu, przetwarzaniu i przekazywaniu informacji kryminalnych * O ochronie niektórych praw konsumentów oraz odpowiedzialności za produkt niebezpieczny * O ochronie informacji niejawnych * Wszystkie inne specyficzne dla działalności organizacji

Wymogi ustawy o ochronie danych osobowych narzucają stworzenie Instrukcji zarządzania systemem informatycznym, chciałbym się dowiedzieć, co powinna zawierać w takiej instrukcji np. procedura nadawania uprawnień w systemie informatycznym.

Może być np.:Procedura nadawania uprawnień w systemie informatycznym służącym do przetwarzania danych osobowych.1. Utworzenie konta użytkownika związane z dostępem do aplikacji lub systemu przetwarzającego dane osobowe następuje z uwzględnieniem poniższych zasad: * konto można nadać jedynie osobie posiadającej pisemne upoważnienie do przetwarzania danych osobowych w firmie, * wniosek o nadanie dostępu składa przełożony danego użytkownika, * wniosek określa proponowany zakres dostępu do danych /profil/, który musi być zgodny z zakresem upoważnienia, * wniosek o przyznanie uprawnień do aplikacji może być w postaci papierowej lub elektronicznej. * wniosek akceptuje Właściciel danego zasobu danych osobowych, 2. Wniosek jest przesyłany do akceptacji do danego Właściciela zasobu danych osobowych.3. Jeżeli przełożony użytkownika jest Właścicielem zasobu automatycznie akceptuje wniosek.4. Właściciel zasobu danych akceptuje wniosek przez własnoręczny podpis i pieczęć lub podpis elektroniczny. Zatwierdzenie wniosku jest równoznaczne z upoważnieniem użytkownika do przetwarzania danych w systemie informatycznym, w zakresie wskazanym we wniosku,5. Wniosek po uzyskaniu akceptacji kierowany jest do administratora systemu do realizacji.6. Administrator systemu zakłada konto użytkownika w systemie o odpowiednim identyfikatorze zabezpieczone hasłem tymczasowym, którego zmiana jest wymuszona przy pierwszym zalogowaniu użytkownika zgodnie z ogólnymi zasadami panującymi w organizacji i szczegółowymi instrukcjami operacyjnymi specyficznymi dla danego systemu.7. Do zmiany uprawnień użytkownika znajdują odpowiednie zastosowanie punkty 1-5.8. Wniosek o przyznanie lub zmianę praw dostępu jest przechowywany przez administratora systemu. Kopia wniosku przesyłana jest do ABI.9. Konto zostaje usunięte przez administratora systemu na wniosek szefa jednostki organizacyjnej. Administrator systemu o fakcie usunięcia konta informuje ABI.

Czy wszystkie organizacje podlegają wymaganiom Ustawy o Ochronie Danych Osobowych? Jeśli tak, to jaką dokumentację na tą okoliczność należy posiadać?

Ustawie podlegają wszystkie organizacje, które zatrudniają pracowników (dane osobowe pracowników) lub przetwarzają dane osobowe osób fizycznych (np. sklepy wysyłkowe posiadają dane osobowe klientów).Powyższe przypadki różnią się od siebie tylko obowiązkiem zgłoszenia zbioru danych osobowych do GIODO. W pierwszym przypadku takiego obowiązku nie ma, w drugim zgłoszenie jest wymagane. Dokumentacja wymagana rozporządzeniem to: – polityka bezpieczeństwa – instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych Elementami, które powinny być częścią w/w dokumentacji są upoważnienia do przetwarzania danych osobowych, ewidencje osób upoważnionych, umowy powierzenia przetwarzania, (jeśli udostępniamy dane na zewnątrz, np. do centrum medycznego!).

W mojej obecnej firmie przygotowujemy dokument zatytułowany Klasyfikacja informacji. Czy w naszej klasyfikacji możemy wykorzystać klasyfikację z ustawy o informacjach niejawnych?

Oznaczenie informacji i dokumentów klauzulami opisanymi w w/w ustawach (tzn. poufne, tajne), zgodnie z treścią tych ustaw, jednoznacznie określa rodzaj informacji i dokumentów oraz zasady postępowania z nimi. Wykorzystanie tych klauzul do innych dokumentów i informacji, niespełniających kryteriów w/w ustaw w zasadzie doprowadza do sytuacji, w której osoby nieposiadające odpowiednich poświadczeń (np. do informacji tajnych) mogą mieć do nich dostęp. Taka sytuacja jest niezgodna z wymaganiami ustawy o informacjach niejawnych i nie ma znaczenia, że tak naprawdę, to nasze dokumenty nie są dokumentami tajnymi w rozumieniu tej ustawy. Stosując w/w klauzule powinniśmy je stosować zgodnie z wymaganiami właściwych ustaw.Często stosowanym zabiegiem jest używanie klauzuli np., ‘Poufne w Firmie’ w celu odróżnienia jej od klauzuli ‘poufne’. Ale zawsze najbezpieczniej jest nazywanie klauzul w sposób niebudzący zastrzeżeń (np. informacje chronione).

Chciałem opracować podstawową listę procedur, minimum, które powinna posiadać organizacja (np. średniej wielkości) w obszarze bezpieczeństwa informacji. Czy są takie listy, zawierające te procedury? Jestem w trakcie przygotowywania takiej, ale nie chciałbym pominąć żadnej.

Poniżej prezentuję absolutne minimum dokumentacji SZBI:Dowody * Zakres i granice * Decyzja o wdrożeniu * Metodyka szacowania ryzyka * Raport z analizy ryzyka * Kryteria akceptacji ryzyk (w metodyce i raporcie) * Akceptacja ryzyk szczątkowych przez kierownictwo * Deklaracja stosowania * Plan postępowania z ryzykiem * Badanie efektywności zabezpieczeń (cele i wskaźniki)Polityki * A 5.1.1 Polityka bezpieczeństwa (Polityka i księga procedur) * A 11.1.1 Polityka kontroli dostępu (w Polityce) Procedury (zależne od wyboru zabezpieczeń w Deklaracji stosowania – Załącznik A) * Rejestr aktywów i właścicieli (w analizie ryzyka) * A 7.1.3 Akceptowalne użycie aktywów * A 10.1.1 Dokumentowanie procedur eksploatacyjnych * A 10.7.2 Niszczenie nośników * A 14.1.3 Plany ciągłości działania * A 15.1.1 Określenie odpowiednich przepisów prawnych. Procedury systemowe * 4.3.2 Procedura nadzoru nad dokumentami * 4.3.3 Nadzór nad zapisami (udokumentowanie zabezpieczeń) * 6. Przeprowadzanie audytów wewnętrznych * 8.2 Działania korygujące * 8.3 Działania zapobiegawcze

Czy przegląd systemu zarządzania jakością musi się odbywać w formie spotkania kierownictwa? (norma jasno tego nie mówi) Czy też może być to mailowe przesłanie do Pełnomocnika wszystkich danych wejściowych przez kierownictwo i odesłanie im podsumowania oraz zatwierdzenie przez Prezesa?

Formalnie nie musi się odbyć spotkanie, forma w której pełnomocnik zbiera informacje i przekazuje podsumowanie w formie raportu z przeglądu do Prezesa Zarządu jest często praktykowana i w pełni akceptowana przez Audytorów, proszę tylko pamiętać, że taki raport powinien być podpisany przez prezesa, jako ‘zaakceptowany’ – powinniśmy móc wykazać, że się z nim zapoznał.

Czy audytor wewnętrzny powinien mieć wgląd w teczki pracowników – zawierające dane osobowe pracowników? Czy audytor powinien podpisać klauzulę poufności?

Norma nie precyzuje tego zagadnienia, niemniej odrębne przepisy prawa regulują zasady i warunki dostępu do teczek osobowych pracowników. Audytor wewnętrzny nie powinien mieć wglądu w teczki osobowe pracowników, o ile jego zakres obowiązków tego nie umożliwia. Nie wiem też do końca czemu miałby służyć taki wgląd w teczki? Rozumiem, że chodzi o sprawdzenie kompletności teczek, zakresów obowiązków, szkoleń itp.; to wszystko jednak można sprawdzić bez przeglądania teczek. Dobrą praktyką jest rozmowa z osobą odpowiedzialną za prowadzenie teczek osobowych w firmie i na przykładzie jednej teczki (audytor nie powinien wiedzieć kogo to teczka) sprawdzenie: czy teczka jest kompletna, skąd wiemy, że jest kompletna, skąd wiemy co powinno być w środku itp. i np, czy odbyło się szkolenie BHP, proszę mi pokazać dowód z tego szkolenia, wtedy auditowany zasłania dane osobowe pracownika i pokazuje np certyfikat ze szkolenia z datą. W świetle wymagań normy i dobrych praktyk jest to jak najbardziej wystarczający dowód na spełnienie wymagań, a szukanie dowodów na spełnienie wymagań jest właśnie celem audytów. Jeżeli chodzi o klauzulę poufności polecam z praktyki żeby każdy audytor niezależnie od obszarów, które audituje miał taką klauzulę podpisaną, a już w przypadkach kiedy audituje obszary wrażliwe dla organizacji koniecznie. Co do zapisów w procedurze audytów norma nie wymusza takich stwierdzeń i tutaj decyzja należy do państwa.

W Firmie odbył się audyt przeprowadzony przez jednostkę certyfikującą. Proszę o pomoc w kwestii działań, poauditowych, które powinny zostać podjęte, gdzie zapisać to co się zdarzyło.

Najlepszym źródłem informacji jest sam audytor w trakcie audytu, a dopiero potem zapisy w jego raporcie.
1. Obszary do poprawy – podniesienie kwalifikacji audytorów wewnętrznych. Odp: Sugeruję zorganizowanie szkolenia doskonalącego dla audytorów wewnętrznych – zapis w raporcie pojawił się najprawdopodobniej z dwóch powodów: od dawna nie było żadnego szkolenia dla audytorów, lub raporty z audytu są niskiej jakości.
2. Doskonalenie metodologii auditu wewnętrznego z naciskiem na uwzględnienie jako jeden z celów auditu doskonalenie systemu zarządzania. Odp: w powiązaniu z pierwszym zapisem wydaje mi się, że audytor sugeruje jednak, że przeprowadzane audyty są słabe: np.: obejmują tylko wybrane fragmenty, brak jest dowodów na zgodność/niezgodność, brak opisów, ustaleń itp. Rozwiązaniem może być organizacja szkoleń i warsztatów doskonalących (jak w pkt. 1) lub zlecenie przeprowadzenia audytów wewnętrznych na zewnątrz (np. nam lub podobnej firmie)
3. Doskonalenie metodologii projektowania z naciskiem na uwzględnienie jako jeden z celów przeglądu doskonalenie systemu zarządzania. Odp.: Ten zapis jest mocno niejasny – nie bardzo wiem, co audytor miał na myśli wiążąc doskonalenie projektowania z przeglądem doskonalenia!? O co może chodzić:- o poprawienie metodologii projektowania – coś w projektowaniu audytorowi nie podobało się – wskazany dowód może pomóc w zidentyfikowaniu tego miejsca – i tu trzeba coś poprawić;- o uwzględnienie w przeglądach projektowania (wymaganych normą) kwestii doskonalenia (!?)- o uwzględnienie w przeglądach doskonalenia systemu zarządzania (może chodzi o przegląd zarządzania lub może Państwa system zakłada przeprowadzanie czegoś takiego jak przeglądy doskonalenie systemu zarządzania – norma wymaga przeglądu zarządzania) doskonalenia. Ostatnie zagadnienie krąży wokół tematu doskonalenia w projektowaniu – albo jego braku, albo doskonalenie występuje,ale “poza” systemem.

Jak powinno być realizowane zabezpieczenie oraz jak je zbadać? Zabezpieczenia przed kodem mobilnym A.10.4.2

Kod mobilny jest oprogramowaniem, które samo przesyła się z jednego komputera do kolejnego, uruchamia się automatycznie i wykonuje pewne określone funkcje z niewielkim udziałem lub bez udziału użytkownika – to wcale nie musi być kod złośliwy! Żeby oglądać filmy w Internecie – zazwyczaj trzeba zainstalować jakiś dodatek, wtyczkę itp – to jest kod mobilny. Żeby połączyć się z bankiem – podobnie. Zabezpieczenie dotyczące kodu mobilnego zazwyczaj dotyczy korzystania z Internetu – ważne jest, czy mamy ustalone stanowisko dotyczące tego, co akceptujemy, a czego nie – jaki kod jest dopuszczony i/lub jakie są zasady jego instalowania (czy użytkownik może zrobić to samodzielnie, czy też musi to zrobić administrator). Audyt tego zabezpieczenia może polegać na: – ustaleniu co jest dozwolone, a co nie (takie zasady powinny istnieć!)- w jaki sposób jest to realizowane/ zapewnione- czy zabezpieczenia są skuteczne (np. wszyscy wiedzą, że nie wolno instalować wtyczek z Internetu bez autoryzacji, ale nagminnie to robią).

Niezgodność stwierdzona przez audytora podczas audytu certyfikującego:

Brak dowodu na to, że kopia zapasowa danych z komputera „X-Komputer” została wykonana zgodnie z przyjętym harmonogramem – zidentyfikowano znaczące różnice między kopią zapasową a zawartością chronionego komputeraPkt. Normy: A.10.5.1 Zapasowe kopie informacji – ZabezpieczenieKopie zapasowe informacji i oprogramowania powinny być regularnie tworzone i testowane zgodnie z ustaloną polityką wykonywania kopii zapasowych.Opis Sytuacji:Podczas audytu została zweryfikowana kopia bezpieczeństwa. W procedurze tworzenia kopii bezpieczeństwa podana była informacja, że kopie bezpieczeństwa wykonywane są raz na tydzień (w piątek) i testowane również w raz w tygodniu (poniedziałek). Audytor zweryfikował ostatnie wykonanie kopii i porównał jej zawartość z danymi w systemie.Niestety jak to bywa często ostatnia kopia była wykonana 2 tygodnie wcześniej, w dodatku nikt jej nie przetestował i okazało się, że części plików nie można otworzyć.Wniosek:Problemy związane z kopiami bezpieczeństwa są jednymi z najczęściej identyfikowanymi niezgodnościami podczas audytów certyfikujących. Firmy często podczas wdrożenia systemu ISO 27001 bardzo pochopnie ustalają sobie harmonogramy tworzenia i odtwarzania kopii zapasowych, dobrane częstotliwości często nie mają odzwierciedlenia w rzeczywistości. Częstotliwość wykonywania kopii bezpieczeństwa należy dobrać do możliwości i potrzeb naszej organizacji. Należy również pamiętać o odtwarzaniu i testowaniu kopii bezpieczeństwa gdyż wbrew pozorom bardzo często dochodzi do sytuacji, w której w razie awarii kopia bezpieczeństwa okazuje się uszkodzona.

ISO 20000-1

Jak powinna wyglądać księgę procedur bezpieczeństwa? Czy istnieje jakiś spis dobrych praktyk w zakresie jej tworzenia.

Księga procedur bezpieczeństwa powinna być dostosowana do konkretnej organizacji, trudno więc wskazać jakiś uniwersalny przykład. Najważniejsze aspekty, które powinny być w niej poruszone, to:- Struktura zarządzania bezpieczeństwem i podział odpowiedzialności, np.:- Zasady współpracy z innymi podmiotami;- Kontrola dostępu, np.: – Kontrola dostępu do pomieszczeń biurowych – Kontrola dostępu do serwerowni…- Zasady nadawania uprawnień użytkowników- Zasady i korzystanie z haseł w systemach informatycznych- Ogólne zasady tworzenia bezpiecznych haseł- Zasady korzystania z systemów informatycznych- Logowanie i kończenie pracy, – Instalowanie programów- Zasady pracy na odległość- Zasady bezpieczeństwa informacji przy korzystaniu z poczty elektronicznej- Zarządzanie wymiennymi nośnikami- Kopie zapasowe- Klasyfikacja informacji- Podział rodzajów informacji w firmie, – Polityka czystego biurka- Polityka czystego ekranu- Zarządzanie incydentami- Zgodność- Wykaz aktów prawnych dotyczących firmy.

W jaki sposób powinna być prowadzona dokumentacja z testów?Czy dopuszczalne jest posiadanie tylko elektronicznych protokołów z testów?Jak często testować, na jakie kroki dzielić, testować tylko podczas tworzenia kroków milowych, czy podczas tworzenia każdej zmiany?

W przypadku wyrobów medycznych dokumentacja powinna być prowadzona w sposób zapobiegający nieautoryzowanym zmianom, więc jeśli będzie przechowywana w postaci elektronicznej, to powinna zostać odpowiednio zabezpieczona. Trudno jest odpowiedzieć na pytanie kiedy i jakie zmiany powinny być walidowane. Niemniej jednak każda zmiana powinna być testowana i odbierana, należy zarządzać konfiguracją, co ma również bezpośrednie przełożenie na zarządzanie zmianami. W zależności od wpływu zmiany na wyrób końcowy (analiza ryzyka) należy zastosować odpowiednie zasady postępowania:- w jakich przypadkach tylko testujemy – weryfikacja (zawsze!)- w jakich przypadkach walidujemy- dodatkowo, nawet jeśli nie było zmian czy incydentów – jaki jest nasz pomysł na okresową, regularną walidację.

Czy przegląd systemu zarządzania jakością musi się odbywać w formie spotkania kierownictwa? (norma jasno tego nie mówi) Czy też może być to mailowe przesłanie do Pełnomocnika wszystkich danych wejściowych przez kierownictwo i odesłanie im podsumowania oraz zatwierdzenie przez Prezesa?

Formalnie nie musi się odbyć spotkanie, forma w której pełnomocnik zbiera informacje i przekazuje podsumowanie w formie raportu z przeglądu do Prezesa Zarządu jest często praktykowana i w pełni akceptowana przez Audytorów, proszę tylko pamiętać, że taki raport powinien być podpisany przez prezesa, jako ‘zaakceptowany’ – powinniśmy móc wykazać, że się z nim zapoznał.

W Firmie odbył się audyt przeprowadzony przez jednostkę certyfikującą. Proszę o pomoc w kwestii działań, poauditowych, które powinny zostać podjęte, gdzie zapisać to co się zdarzyło.

Najlepszym źródłem informacji jest sam audytor w trakcie audytu, a dopiero potem zapisy w jego raporcie.
1. Obszary do poprawy – podniesienie kwalifikacji audytorów wewnętrznych. Odp: Sugeruję zorganizowanie szkolenia doskonalącego dla audytorów wewnętrznych – zapis w raporcie pojawił się najprawdopodobniej z dwóch powodów: od dawna nie było żadnego szkolenia dla audytorów, lub raporty z audytu są niskiej jakości.
2. Doskonalenie metodologii auditu wewnętrznego z naciskiem na uwzględnienie jako jeden z celów auditu doskonalenie systemu zarządzania. Odp: w powiązaniu z pierwszym zapisem wydaje mi się, że audytor sugeruje jednak, że przeprowadzane audyty są słabe: np.: obejmują tylko wybrane fragmenty, brak jest dowodów na zgodność/niezgodność, brak opisów, ustaleń itp. Rozwiązaniem może być organizacja szkoleń i warsztatów doskonalących (jak w pkt. 1) lub zlecenie przeprowadzenia audytów wewnętrznych na zewnątrz (np. nam lub podobnej firmie)
3. Doskonalenie metodologii projektowania z naciskiem na uwzględnienie jako jeden z celów przeglądu doskonalenie systemu zarządzania. Odp.: Ten zapis jest mocno niejasny – nie bardzo wiem, co audytor miał na myśli wiążąc doskonalenie projektowania z przeglądem doskonalenia!? O co może chodzić:- o poprawienie metodologii projektowania – coś w projektowaniu audytorowi nie podobało się – wskazany dowód może pomóc w zidentyfikowaniu tego miejsca – i tu trzeba coś poprawić;- o uwzględnienie w przeglądach projektowania (wymaganych normą) kwestii doskonalenia (!?)- o uwzględnienie w przeglądach doskonalenia systemu zarządzania (może chodzi o przegląd zarządzania lub może Państwa system zakłada przeprowadzanie czegoś takiego jak przeglądy doskonalenie systemu zarządzania – norma wymaga przeglądu zarządzania) doskonalenia. Ostatnie zagadnienie krąży wokół tematu doskonalenia w projektowaniu – albo jego braku, albo doskonalenie występuje,ale “poza” systemem.

Jakie są wymagania w stosunku do dokumentacji przy wdrożeniu ISO/IEC 20000-1?

W najnowszej wersji normy ISO 20000-1:2011 wymagane są udokumentowane:- polityka i cele zarządzania usługami- plan zarządzania usługami- polityki i plany utworzone dla procesów zgodnie z wymaganiami ISO 20000 (m.in. audyt wewnętrzny, nadzór nad zapisami i dokumentami, działania korygujące i zapobiegawcze, plan dostępności, ciągłości działania, plan zdolności wykonawczej itp)- katalog usług- SLA- procesy zarządzania usługami- procedury i zapisy wymagane przez ISO 20000 (np. raport z usług, stosowane zabezpieczenia,pomiar celów itp)- inne, w tym również pochodzące z zewnętrznych źródeł, niezbędne do skutecznego działania systemu zarządzania usługami

ISO 19011

Proszę o pomoc w zaplanowaniu audytu wewnętrznego potwierdzającego skuteczność procesów komunikacyjnych w firmie.

1) Jeśli chodzi o spełnienie wymagania 5.5.3 to możemy zacząć od przyjęcia pracownika do pracy: – skąd wie, czego się od niego oczekuje i jakie są jego zadania, uprawnienia i odpowiedzialność – w jaki sposób sposób zostało mu to zakomunikowane 2) Pozostali pracownicy – skąd dowiadują się o zmianach… i – w jaki sposób przełożony (lub ktoś inny – kto?) przekazuje im nowe informacje, wytyczne, zmiany itp. – kiedy ostatnio taka sytuacja miała miejsce – znajomość polityki jakości (powinna być zakomunikowana…) 3) Kierownicy – osoby odpowiedzialne za poszczególne obszary/ procesy – podobnie jak pracownicy, w jaki sposób dowiadują się o zmianach, które ich dotyczą – w jaki sposób oni sami przekazują informację swoim przełożonym, Najwyższemu Kierownictwu – jeśli biorą udział w przeglądzie kierownictwa, to w jaki sposób komunikują wyniki przeglądu właściwym pracownikom,jeśli jest taka konieczność (dobrze zweryfikować na rzeczywistym przykładzie z raportu z przeglądu) – w jaki sposób dowiadują się o wynikach audytów wewnętrznych, które zostały u nich zrealizowane – w jaki sposób przekazują informacje o niezbędnych lub zakończonych działaniach korygujących i zapobiegawczych 4) Najwyższe Kierownictwo – zagadnienia zwiazane z przeglądem kierownictwa – sposób zbierania danych wejściowych, komunikowanie w firmie decyzji – danych wyjściowych.

W trakcie audytu certyfikującego będzie przeprowadzona rozmowa z przedstawicielem zarządu firmy. Oprócz polityki jakości, jaki zakres pytań trzeba brać pod uwagę?

Podczas audytu Najwyższego Kierownictwa należy się spodziewać pytań dotyczących przede wszystkim pkt 5. Odpowiedzialność kierownictwa. Mogą one dotyczyć:- planowania, budżetowania dla całej firmy – odpowiedzialności, uprawnień i komunikacji – w jaki sposób są ustalane, co jest brane pod uwagę podczas ich ustanawiania itp, – celi jakości i ich osiąganie – przeglądu kierownictwa (raport z przeglądu), a szczególnie o mierniki celów jakości oraz działania, które wyniknęły z przeglądu… Drugim punktem jest pkt 6. Zarządzanie zasobami. Pytania mogą dotyczyć zapewnienia zasobów – czy są wystarczające (ilość, rodzaj, kompetencje itp) oraz szkoleń – ale nie szczegółowo, tylko bardziej pod kątem planowania (budżet) itp.

Co decyduje o sukcesie w czasie nawiązywania pierwszego kontaktu z Auditowanym? Jak zrobić dobre wrażenie, co może pomóc w przeprowadzeniu auditu?

Pierwsze wrażenie jest bardzo istotne w audicie, pomaga nawiązać dobry kontakt z auditowanym. Dobry start często przekłada się na dobry wynik końcowy. Badania pokazują, że “pierwsze 20 sekund, pierwsze 20 min, pierwsze 20 gestów i pierwsze 20 słów”.Przedstawiając to w formie bardziej rozbudowanej: Na pierwsze wrażenie składają się:
– Uśmiech
– Postawa
– Kontakt wzrokowy
– Używanie słów: proszę, dziękuję
– Człowieka postrzegamy jako całość
– Zwracamy uwagę na charakterystyczne detale
– Stereotypy
– Efekt aureoli
Kolejność postrzegania cech nowo poznanej osoby:
– Rasa
– Płeć
– Wiek
– Wzrost
– Wyraz twarzy, oczy, włosy
– Ubiór
– Ruchy i postawa
Później oceniamy (każdy w innej kolejności) inne cechy, takie jak:
– Atrakcyjność
– Osobowość, temperament
– Wykształcenie
– Osiągnięty sukces
– Zalety moralne
– Maniery
– Stan majątkowy
– Pozycję w firmie
– Pozycję społeczną
Na postrzeganie wiarygodności danej osoby wpływa:
– fachowość, rzetelność
– entuzjazm
– wygląd i ubiór
Na Twój wygląd składa się:
– Wyraz twarzy. Pamiętaj o uśmiechu!
– Postawa: sylwetka komunikacyjna otwarta, w przypadku rozmowy na siedząco pamiętaj o lekkim wychyleniu do rozmówcy,wyrazie zainteresowania, utrzymaniu kontaktu wzrokowego, pamiętaj o nie stosowaniu barier z rąk i nóg.
– Ręce: powinny być czyste i zadbane. Zegarek na ręku klasyczny.
– Włosy dobrze ostrzyżone i ułożone, nie rozpuszczone.
– Higiena osobista – pamiętaj o schludnym wyglądzie. Praktycznie 80% uwagi rozmówca poświęca ustom, zadbaj, więc również o wygląd zębów.
– W biurze obowiązują buty bez odkrytych pięt. Ubiór musi być odpowiednio dobrany do Ciebie, ale również należy pamiętać o savoir-vivre w biurze oraz wymaganiach tzw. kultury organizacyjnej.

Które elementy normy ISO 9001 należy wskazać przy procesie reklamacji klientów, reklamacji do dostawców, a także przy procesie przyjmowaniu towaru na magazyn i kontroli jakościowej oraz ilościowej w odniesieniu do firmy handlowej.

Przy procesie reklamacji klientów bierze się pod uwagę punkty normy 7.2.3.- Organizacja powinna określić i wdrożyć skuteczne ustalenia związane z komunikacją z klientami dotyczącea) informacji o wyrobie,b) zapytań handlowych, postępowania z umowami lub zamówieniami, łącznie ze zmianami, c) informacji zwrotnej od klienta, w tym dotyczącą reklamacji klienta.Jak również punkt 8.3., który mówi o Nadzorze nad wyrobem w tym przypadku szczególnie: d) podjęcie działania odpowiedniego do rzeczywistych lub potencjalnych skutków niezgodności wówczas, gdy niezgodny wyrób został wykryty po dostawie lub po rozpoczęciu jego użytkowania. W przypadku reklamacji kierowanej do dostawców zastosowanie ma punkt normy 7.4.3, w którym mowa o weryfikacji zakupionego wyrobu, powinien on spełniać wyspecyfikowanie wymagania dotyczące zakupu, zastosowanie ma również punkt 7.4.1, w którym mowa o weryfikacji i ocenie dostawców, jeżeli reklamacje zdarzają się często, być może należy pomyśleć o zmianie dostawcy. W procesie przyjmowania wyrobu na magazyn, kontroli jakościowej i ilościowej tego wyrobu również ma zastosowanie punkt 7.4.3., dostarczony wyrób należy sprawdzić i zweryfikować, weryfikacja daje nam podstawę do oceny dostawców (pkt 7.4.1.) jak również spełnia kryteria punktu 8.4. czyli daje możliwość analizy danych i wyciągnięcia wniosków, czego efektem mogą być działania korygujące (8.5.2.) lub ciągłe doskonalenie (8.5.1.)

Mam zaplanować i zrealizować dwa audity wewnętrzne, w dziale marketingu (z naciskiem na przetargi i ofertowanie), drugi w dziale kadr i księgowości. Proszę o pomoc w ich przygotowaniu, od czego zacząć i na co zwrócić szczególną uwagę przy ich przygotowywaniu i przeprowadzaniu?

Na początku trzeba zaplanować przebieg audytu, to z kim w jakich godzinach i gdzie będziemy rozmawiać, dobrze jest również podać zakres omawianych tematów, żeby audytowany mógł się przygotować. Taki plan wraz z zakresem należy przesłać najpóźniej na tydzień przed audytem do osób zainteresowanych. Jeżeli chodzi o zakres omawianych zagadnień to w odniesieniu do działów powinien on zawierać takie elementy: marketing: * planowanie działań (cele jakościowe, plany, budżety i ich realizacja) * orientacja na klienta, * przegląd wymagań klienta, * zgodność z prawem, * nadzór nad zapisami i dokumentami, * ocena satysfakcji klienta i wynikające z niej postępowanie, * odpowiedzialności i uprawnienia, * zasoby, * realizacja wyrobu, * zakupy (podwykonawcy w zakresie marketingu), * kadry i księgowość: zgodność z prawem, w tym dane osobowe i ustawy o rachunkowości, podatkach itp * monitorowanie zmian w przepisach * nadzór nad zapisami i dokumentami, * kompetencje, odpowiedzialności i uprawnienia – umowy o pracę itp * szkolenia i ocena skuteczności szkoleń * Wszyscy znajomość polityki jakości,

Poproszono mnie o przeprowadzenie audytu wewnętrznego polegającego na sprawdzeniu zgodności Księgi Jakości z Normą 9001:2008. Na co w szczególności mam zwrócić uwagę. Jakie elementy muszą znajdować się w nowej Księdze Jakości a nie musiały w poprzedniej?

Generalnie zmiany dotyczyły doprecyzowania niejasnych wymagań, podkreślenia dużej swobody organizacji w sposobie dokumentowania, mierzeniu procesów, badaniu satysfakcji klienta itp. Wydanie z 2008/2009 roku nie zawiera nowych wymagań! Poniżej opisane są główne zmiany w normie ISO 9001:2008.1. Wymagania prawne. Podstawową zmianą w ISO 9001:2008 jest podkreślenie konieczności spełniania wymagań prawnych i innych. Uwaga: spełnienie wymagań prawnych i innych nie oznacza konieczności spisania wymagań prawnych dotyczących wyrobu, niemniej jednak należy udowodnić znajomość przepisów mających zastosowanie do naszego wyrobu.2. Określenie procesów (pkt. 4.1 Wymagania ogólne)Poprzednie wydanie normy nakazywało „identyfikację procesów”, w obecnym wydaniu należy „określić procesy”. Określenie oznacza w tym przypadku pokazanie przebiegu procesu, wskazanie wejść i wyjść z procesu, uczestników procesu itp.3. Mierniki procesów. W pkt. 4.1.e) norma wymaga monitorowania i mierzenia procesów, tam gdzie ma to zastosowanie, co oznacza, że nie należy tworzyć mierników za wszelką cenę, nawet dla mniej istotnych procesów – nie wszystkie procesy muszą mieć mierniki!4. Nadzór nad procesami zewnętrznymi. Rodzaj i zakres nadzoru jaki należy zastosować nad takimi realizowanymi na zewnątrz procesami, powinien być określony w systemie zarządzania jakością – z zapisu wprawdzie nie wynika wprost konieczność udokumentowania zakresu, ale wydaje się to wymagane.5. Nadzór nad dokumentacją. Podkreślona została dowolność formy i postaci dokumentacji systemowej. Wymagana jest identyfikacja dokumentów pochodzących z zewnątrz.6. 8.2.4 Monitorowanie i pomiary wyrobuNależy utrzymywać dowód spełnienia kryteriów przyjęcia – potwierdzenie, że na poszczególnych etapach realizacji wyrobu spełnia on stawiane mu wymagania. Podsumowanie:W nawiązaniu do pytania o konieczność wprowadzania zmian do dokumentacji w związku z nowym wydaniem normy nie narzuca ona nowych wymagań dokumentacyjnych w stosunku do wydania z 2000/2001 roku. Zmiany zależą od dotychczas przyjętego sposobu zaprojektowania i wdrożenia systemu zarządzania jakością w organizacji. Niektóre organizacje mogą być zmuszone do opisania swoich procesów, inne do identyfikacji wymagań prawnych czy też nadzoru nad outsourcingiem czy też dokumentacją zewnętrzną.

Chciałbym się dowiedzieć jak powinno wyglądać udokumentowanie zgodności z normą w raporcie z auditu.

Ponieważ, zgodnie z ISO 19011 audit to systematyczny, niezależny i udokumentowany proces uzyskania dowodu z auditu oraz jego obiektywnej oceny w celu określenia stopnia spełnienia kryteriów auditu, a dowód to racjonalna podstawa uzyskiwania wiarygodnych i powtarzalnych wniosków. Raport z auditu powinien zawierać dowody, przede wszystkim na zgodność z normą. Odnosząc się do wytycznych i dobrych praktyk m.in. z normy ISO 19011 „Wytyczne dotyczące auditowania systemów zarządzania jakością i/lub zarządzania środowiskowego”oraz zgodnie z wytycznymi międzynarodowej organizacji IRCA, stanowiącej wymagania dla auditorów wiodących i zasad przeprowadzania audytów poniżej przedstawiam przykładowy fragment raportu z Audytu, który wg mnie spełnia wszystkie ww. kryteria. Zakupy 4.2.4; 7.4Organizacja podeszła do zagadnień zakupowych w sposób systemowy opierając swoje decyzje o wyborze dostawców na wynikach szacowania ryzyka oraz na kryteriach jakie zastosowała do oceny. Dokonano formalnej oceny dostawców, jej wyniki były dostępne.Do głównych dostawców, z których usług korzysta organizacja należą:xxxx- dostawca energii elektrycznej xxxx-dostawcy usług telekomunikacyjnych, dwóch dostawców zapewnia zastępowalność usług; itd. Kompletacja zamówień – zazwyczaj raz w miesiącu prowadzi osoba z biura.Zamówienia pod klientów dokonuje xxxx – zatwierdzeniem zamówienia zajmuje się Prezes. Osoba odbierająca odpowiada za kontrolę odbiorczą dostaw. Prowadzone to jest w systemie zamówień.Zweryfikowane dokumenty:•

Na jakich drukach wpisujemy protokół/raport z przeprowadzonego auditu?Czy należy wyznaczyć czas na usunięcie ewentualnych niezgodności i kiedy należy sprawdzić sposób (jeśli należy) w jaki zostały one usunięte/załatwione?Czy przeprowadzając audit w innej (nie swojej, macierzystej) firmie wystarczy okazać się certyfikatem, czy należy pozostawić jego ksero?

Ad1) Wzór raportu z auditu nie jest określony w normie, ale zazwyczaj zawiera on następujące informacje: – nr i data auditu – auditorzy i auditowani (osoby) – cel, zakres i kryteria z auditu (np. Weryfikacja skuteczności funkcjonowania systemu zarządzania jakością wg ISO 9001, procedur wewnętrznych oraz obowiązującego prawa w dziale Sprzedaży) – ustalenia z auditu (opis przebiegu auditu, ze wskazaniem zgodności z wymaganiami) – niezgodności, obserwacje, propozycje doskonalenia.Ad2) W przypadku auditu wewnętrznego auditor może, ale nie musi określać ilość czasu potrzebną do usunięcia niezgodności. Działania korygujące (a o takich tu mówimy) nie są częścią auditu. Auditor wskazuje niezgodność, jej usunięcie jest zazwyczaj nadzorowane przez Pełnomocnika. Sposoby postępowania w takich sytuacjach powinny być opisane w procedurze Audity wewnętrzne. Podobnie jest z oceną skuteczności podjętych działań. Auditor może przeprowadzać taką ocenę, ale równie dobrze procedura nadzoru nad działaniami korygującymi może stanowić inaczej.Ad3) Jeśli przeprowadzamy audit wewnętrzny w innej firmie, Pełnomocnik w zasadzie powinien poprosić auditora o potwierdzenie jego kompetencji do przeprowadzania auditów. Stąd zazwyczaj Pełnomocnicy chcą mieć ksero.

1. Czy zawsze mogę prosić o księgę jakości jednostki audytowanej, aby poznać procedury danego działu, który będę audytowała?
2. Moje pytanie dotyczy laboratorium firmy w której pracuję. Mamy tu zestaw narzędzi, ale nie wszystkie używamy i nie wszystkie są systematycznie wzorcowane. Czy, powinnam usunąć karty narzędzi nie używanych i wyjąć je z rejestru? Czy powinnam założyć rejestr narzędzi nie używanych?

Audytor zawsze może a wręcz powinien sięgać do dokumentacji obszaru, który audytuje – dotyczy to również księgi jakości laboratorium. Zgodnie z wytycznymi ISO 19011 kryteriami audytu, czyli podstawą do oceny funkcjonowania systemu zarządzania oprócz normy, są również wewnętrzne procedury. Wszystkie używane narzędzia muszą być nadzorowane. Jeżeli posiadacie narzędzia, które nie są używane i w związku z tym nie są wzorcowane należy uniemożliwić ich przypadkowe użycie. Zgodnie z pkt. 7.6 dodatkowo należy oznaczyć status urządzenia, czyli w tym przypadku jeśli są one dostępne, to oznaczenie powinno jednoznacznie wskazywać, że nie jest ono wzorcowane. A najlepiej je usunąć (zamknąć?).Nie ma potrzeby zakładania rejestru narzędzi nieużywanych, lepiej oznaczyć same urządzenia lub je skutecznie zabezpieczyć przed użyciem.

Czy norma 19011, wymaga, żeby audytorzy wewnętrzni mieli wpisane w zakresie obowiązków pracownika przeprowadzanie audytów?

Nie, norma ISO 19011 nie wymaga takich zapisów. W normie ISO 19011 znajdują się tylko zalecenia (a nie wymagania!) dotyczące np. ustalenia odpowiedzialności za zarządzanie programem auditów, ról i odpowiedzialności poszczególnych członków zespołu audytowanego (w tym audytorów) itp. Natomiast podejrzewam, że intencją tego pytania może być kwestia, czy audytorzy wewnętrzni powinni mieć wpisane w zakresie obowiązków pracownika przeprowadzanie audytów. Zgodnie z ISO 9001 odpowiedzialności powinny być ustanowione i zakomunikowane (norma nie wprowadza obowiązku ich dokumentowania, kodeks pracy również tego nie wymaga!), ale jeśli pracownicy posiadają zakresy odpowiedzialności/ obowiązków to moim zdaniem, brak jest argumentów uzasadniających nie wpisanie takiej odpowiedzialności do zakresu obowiązków lub gdziekolwiek indziej – tak, żeby taka odpowiedzialność była jasno przypisana do konkretnego audytora.

W Firmie odbył się audyt przeprowadzony przez jednostkę certyfikującą. Proszę o pomoc w kwestii działań, poauditowych, które powinny zostać podjęte, gdzie zapisać to co się zdarzyło.

Najlepszym źródłem informacji jest sam audytor w trakcie audytu, a dopiero potem zapisy w jego raporcie.
1. Obszary do poprawy – podniesienie kwalifikacji audytorów wewnętrznych. Odp: Sugeruję zorganizowanie szkolenia doskonalącego dla audytorów wewnętrznych – zapis w raporcie pojawił się najprawdopodobniej z dwóch powodów: od dawna nie było żadnego szkolenia dla audytorów, lub raporty z audytu są niskiej jakości.
2. Doskonalenie metodologii auditu wewnętrznego z naciskiem na uwzględnienie jako jeden z celów auditu doskonalenie systemu zarządzania. Odp: w powiązaniu z pierwszym zapisem wydaje mi się, że audytor sugeruje jednak, że przeprowadzane audyty są słabe: np.: obejmują tylko wybrane fragmenty, brak jest dowodów na zgodność/niezgodność, brak opisów, ustaleń itp. Rozwiązaniem może być organizacja szkoleń i warsztatów doskonalących (jak w pkt. 1) lub zlecenie przeprowadzenia audytów wewnętrznych na zewnątrz (np. nam lub podobnej firmie)
3. Doskonalenie metodologii projektowania z naciskiem na uwzględnienie jako jeden z celów przeglądu doskonalenie systemu zarządzania. Odp.: Ten zapis jest mocno niejasny – nie bardzo wiem, co audytor miał na myśli wiążąc doskonalenie projektowania z przeglądem doskonalenia!? O co może chodzić:- o poprawienie metodologii projektowania – coś w projektowaniu audytorowi nie podobało się – wskazany dowód może pomóc w zidentyfikowaniu tego miejsca – i tu trzeba coś poprawić;- o uwzględnienie w przeglądach projektowania (wymaganych normą) kwestii doskonalenia (!?)- o uwzględnienie w przeglądach doskonalenia systemu zarządzania (może chodzi o przegląd zarządzania lub może Państwa system zakłada przeprowadzanie czegoś takiego jak przeglądy doskonalenie systemu zarządzania – norma wymaga przeglądu zarządzania) doskonalenia. Ostatnie zagadnienie krąży wokół tematu doskonalenia w projektowaniu – albo jego braku, albo doskonalenie występuje,ale “poza” systemem.

Jak przeprowadzić audit wewnętrzny zarządu (najwyższemu kierownictwu), jakie pytania odnośnie funkcjonującego zintegrowanego systemu zarządzania można zadać zarządowi?

Audyt zarządu często stanowi trudny element audytów wewnętrznych, ze względu na specyfikę procesu i osób audytowanych.Zarząd zazwyczaj audytuje pełnomocnik, jako przedstawiciel kierownictwa, może on bez problemu sięgnąć po niektóre dowody audytowe, a i sam audyt przebiega w swobodniejszej atmosferze.Generalnie sposób audytu zarządu w dużej mierze zależy od wielkości organizacji i “wysokości umiejscowienia” tego zarządu. Jeżeli chodzi o pkt normy to w przypadku zarządu mamy wszystko co dotyczy zaangażowania najwyższego kierownictwa, czyli pkt 5 z normy (zasoby, kompetencje, świadomość itp.) jak i wszystko co jest związane z pomiarami i analizą, czyli prawie cały 8 pkt z normy.Poniżej przykładowe pytania:1) Jak są identyfikowane potrzeby szkoleniowe i czy w ślad za nimi są realizowane szkolenia?2) Jakie pracownicy powinni posiadać materiały, narzędzia i informacje potrzebne im do pracy, w jaki sposób jest to zapewniane?3) Czy i jakie były wprowadzane zmiany w procesie mające wpływ na dokumentację systemową?4) Czy wszyscy pracownicy mają aktualne zakresy obowiązków i uprawnień?5) Jakie przepisy prawne mają wpływ na firmę i czy są one znane, również pracownikom (jakie i kto monitoruje wprowadzane w nich zmiany)?6) Czy zna opinię klienta zewnętrznego dotyczącą jego zadowolenia ze współpracy z organizacją?7) W jaki sposób zapewniane jest uświadomienie pracownikom wymagań klienta i ich znaczenia?8) Czy wystarczająco uważnie analizowane są przyczyny niezgodności?9) Czy dla każdej niezgodności z audytu wewnętrznego są zapisy z działań doskonalących?10) Czy prowadzona jest ocena tych dostawców usług i podwykonawców, którzy mają wpływ na jakość oferowanych klientom usług?11) Czy są raporty z przeglądu zarządzania? czy przegląd jest przeprowadzany? 12) Czy wszelkie uwagi, propozycje, potrzeby zgłaszane na przeglądzie zostały rozważone i czy zostały wobec tego podjęte jakieś działania?Wszystkie zagadnienia z zakresu ochrony danych osobowych:1) Czy pracownicy mają zdefiniowany zakres obowiązków i uprawnień (w tym zadania środowiskowe)?2) Czy osoby odpowiedzialne za utrzymanie systemu (pełnomocnik, audytor) zostały oficjalnie powołane (pismo właściciela/dyrektora odwołujące się do obowiązków wymienionych w Księdze ZSZ)?3) Czy pracownicy znają zagrożenia na miejscy pracy (przede wszystkim substancje szkodliwe)? 4) Czy w teczkach osobowych jest analiza ryzyka na miejscu pracy?

DANE OSOBOWE

Mamy problem w związku z zapowiedzianą kontrolą GIODO, chciałabym wobec tego zapytać: – Czy należy zgłosić do rejestracji GIODO zbiór danych osób zamawiających usługę newsletter? – Czy mam obowiązek zgłoszenia do rejestracji zbioru danych, jeśli są to aplikacje kandydatów do pracy (CV), przechowywane za zgodą kandydatów, do celów rekrutacji?

ad.1 Tak, zbiór danych osób zamawiających za pośrednictwem strony internetowej wiadomości newsletter należy zgłosić do rejestracji GIODO. Aby zamówić newsletter należy wpisać swój adres e-mail, który w rozumieniu ustawy o ochronie danych osobowych stanowi dane osobowe. Osoby zainteresowane otrzymywaniem newslettera z założenia podają dobrowolnie swój adres e-mail. Pozyskane w ten sposób adresy e-mail stanowią zbiór danych osobowych, w rozumieniu art. 7 ust. 1 ustawy, zgodnie z którym zbiór danych rozumiany jest jako każdy posiadający strukturę zestaw danych o charakterze osobowym, dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest rozproszony lub podzielony funkcjonalnie. Biorąc pod uwagę cel, dla którego dane osobowe są gromadzone oraz jego przeznaczenie, stwierdzić należy, że nie zachodzą w tym przypadku przesłanki wskazane w art. 43 ust. 1 ustawy, zwalniające z obowiązku zgłoszenia zbioru danych osobowych do rejestracji. Zatem zbiór danych zawierający adresy e-mail osób, które chcą otrzymywać newsletter, należy zgłosić Generalnemu Inspektorowi Ochrony Danych Osobowych do rejestracji. ad.2 Zbiór kandydatów do pracy zwolniony będzie z obowiązku jego zgłoszenia do rejestracji na podstawie art. 43 ust. 1 pkt 4 ustawy o ochronie danych osobowych. Przepis ten, w brzmieniu obowiązującym od dnia 1 maja 2004 r. (zmienionym na skutek nowelizacji ustawy o ochronie danych osobowych dokonanej ustawą z dnia 22 stycznia 2004 r. o zmianie ustawy o ochronie danych osobowych oraz ustawy o wynagrodzeniu osób zajmujących kierownicze stanowiska państwowe, Dz. U. Nr 33, poz. 285) stanowi, iż z obowiązku zgłoszenia zbioru danych do rejestracji zwolnieni są administratorzy danych przetwarzanych w związku z zatrudnieniem u nich, świadczeniem im usług na podstawie umów cywilnoprawnych, a także dotyczących osób u nich zrzeszonych lub uczących się. Zwolnienie z obowiązku zgłoszenia zbioru danych do rejestracji nie oznacza automatycznie zwolnienia ich administratora z konieczności przestrzegania przepisów o ochronie danych osobowych i dopełnienia innych, określonych w nich obowiązków, takich jak opracowanie polityki ochrony danych osobowych, instrukcji zarządzania systemem informatycznym przetwarzającym dane osobowe i wszelkich upoważnień i oświadczeń.

Na kim spoczywa obowiązek zgłoszenia zbioru danych osobowych do rejestracji?

Na administratorze danych spoczywa wynikający z art. 40 ustawy obowiązek zgłoszenia zbioru danych osobowych do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych. Wyjątki od tej zasady wyliczone zostały w art. 43 ust. 1 ustawy. Każdy administrator przed zgłoszeniem zbioru powinien sprawdzić, czy prowadzony przez niego zbiór nie podlega, w myśl tych przepisów, zwolnieniu z obowiązku zgłoszenia do rejestracji. Zwolnienie z tego obowiązku nie oznacza zwolnienia z pozostałych obowiązków wynikających z przepisów o ochronie danych osobowych

Czy dane osobowe są powiązane z Polityka Bezpieczeństwa Informacji (m.in. z normami ISO).Czy powołanie ABI (Administrator Bezpieczeństwa Informacji) może się łączyć z funkcją pełnomocnika ISO (m.in. bezpieczeństwa informacji w organizacji)? Czy powinnam jednak przejść dodatkowe szkolenia albo mieć dodatkowe uprawniania, wiedzę?

Ad.1. Dane osobowe są powiązane z wymaganiami ISO 27001, m.in. w Załączniku A, pkt 15.1.4 “Ochrona danych osobowych i prywatność informacji dotyczących osób fizycznych” oraz jako bardzo istotne aktywo firmy. Patrząc z punktu widzenia ISO 9001 jest to ujęte jako wymaganie wynikające z wymagań prawnych – ustawa o ochronie danych osobowych, ale również w pkt. 7.5.4 “Własność klienta”. Ad.2. W zasadzie nie ma przeszkód w łączeniu tych funkcji, o ile Pełnomocnik ds ISO posiada wiedzę i kompetencje (głównie po stronie IT) umożliwiające wykonywanie zadań ABI zgodnie z ustawą o ochronie danych osobowych. Należy jednak pamiętać, że generalnie zadania Pełnomocnika ISO obejmują znacznie większy obszar wymagań, który zawiera w sobie dane osobowe. Ad.3. Ustawa o ochronie danych osobowych nie wymusza dodatkowych szkoleń itp. niemniej jednak fakt powołania ABI powinien zostać udokumentowany a zakres obowiązków i uprawnień określony. Uwaga: jeżeli w firmie nie zostanie powołany ABI, to funkcję ABI pełni Administrator Danych, czyli Kierownictwo (Prezes). ABI jest wiec “zbrojnym” ramieniem Kierownictwa, odpowiedzialnym za kwestie operacyjne, związane z ochrona danych osobowych – reasumując warto szkolenie dla ABI przejść, żeby poznać zadania ABI i sposoby ich realizacji.

Normy wymagają zapewnienia zgodnego z prawem działania, wymagają żeby przypisy prawa były identyfikowane, aktualizowane i okresowo przeglądane. Czy mógłbym otrzymać jakąś przykładową listę wymagań prawnych? Chodzi mi o spis ustaw, bądź przepisów, do których należałoby zajrzeć w przypadku większości organizacji

Witam, nie wiem czy dokładnie o to chodzi:Wykaz aktów prawnych * ustawa o ochronie danych osobowych (Dz. U. z 2002, Nr 101, poz.926 z późn., zm.) * ustawa z dnia 15 września 2000 r. Kodeks spółek handlowych (Dz.U. z 2000r., Nr 94, poz. 1037, ze zm.); * ustawa z dnia 20 sierpnia 1997 r. o Krajowym Rejestrze Sądowym (tekst jednolity: Dz.U. z 2001r., Nr 17, poz. 209, ze zm.); * ustawa z dnia 23 kwietnia 1964 r. Kodeks Cywilny (Dz.U. z 1964, nr 16, poz. 93, ze zm.); * ustawa z dnia 27 lipca 2002 r. o szczególnych warunkach sprzedaży konsumenckiej oraz o zmianie Kodeksu cywilnego (Dz.U. z 2002r., Nr 141, poz. 1176, ze zm.); * ustawa z dnia 12 grudnia 2003 r. o ogólnym bezpieczeństwie produktów (Dz.U. z 2003r., Nr 229, poz. 2275); * ustawa z dnia 11 marca 2004 r. o podatku od towarów i usług (Dz.U. z 2004r., Nr 54, poz. 535, ze zm.); * ustawa z dnia 15 lutego 1992 r. o podatku dochodowym od osób prawnych (tekst jednolity: Dz.U. z 2000r., Nr 54, poz. 654, ze zm.); * ustawa z dnia 9 września 2000 r. o podatku od czynności cywilnoprawnych (tekst jednolity: Dz.U. 2005, Nr 41, poz. 399, ze zm.); * ustawa z dnia 12 stycznia 1991 r. o podatkach i opłatach lokalnych (tekst jednolity: Dz.U. z 2006r., Nr 121, poz. 844, ze zm.); * ustawa z dnia 26 czerwca 1974 r. Kodeks pracy (tekst jednolity: Dz.U. z 1998r., Nr 21, poz. 94, ze zm.); * ustawa z dnia 7 lipca 1994 r. Prawo budowlane (tekst jednolity: Dz.U. z 2003r., Nr 207, poz. 2016 ze zm.); * ustawa z dnia 22 sierpnia 1997 r. o ochronie osób i mienia (tekst jednolity: Dz.U. z 2005r., Nr 145, poz. 1221, ze zm.). Kodeks Karny * O prawie autorskim i prawach pokrewnych * O podpisie elektronicznym * O ochronie baz danych * O świadczeniu usług drogą elektroniczną Prawo Telekomunikacyjne * O informatyzacji działalności podmiotów realizujących zadania publiczne * O elektronicznych instrumentach płatniczych * O gromadzeniu, przetwarzaniu i przekazywaniu informacji kryminalnych * O ochronie niektórych praw konsumentów oraz odpowiedzialności za produkt niebezpieczny * O ochronie informacji niejawnych * Wszystkie inne specyficzne dla działalności organizacji

Wymogi ustawy o ochronie danych osobowych narzucają stworzenie Instrukcji zarządzania systemem informatycznym, chciałbym się dowiedzieć, co powinna zawierać w takiej instrukcji np. procedura nadawania uprawnień w systemie informatycznym.

Może być np.:Procedura nadawania uprawnień w systemie informatycznym służącym do przetwarzania danych osobowych.1. Utworzenie konta użytkownika związane z dostępem do aplikacji lub systemu przetwarzającego dane osobowe następuje z uwzględnieniem poniższych zasad: * konto można nadać jedynie osobie posiadającej pisemne upoważnienie do przetwarzania danych osobowych w firmie, * wniosek o nadanie dostępu składa przełożony danego użytkownika, * wniosek określa proponowany zakres dostępu do danych /profil/, który musi być zgodny z zakresem upoważnienia, * wniosek o przyznanie uprawnień do aplikacji może być w postaci papierowej lub elektronicznej. * wniosek akceptuje Właściciel danego zasobu danych osobowych, 2. Wniosek jest przesyłany do akceptacji do danego Właściciela zasobu danych osobowych.3. Jeżeli przełożony użytkownika jest Właścicielem zasobu automatycznie akceptuje wniosek.4. Właściciel zasobu danych akceptuje wniosek przez własnoręczny podpis i pieczęć lub podpis elektroniczny. Zatwierdzenie wniosku jest równoznaczne z upoważnieniem użytkownika do przetwarzania danych w systemie informatycznym, w zakresie wskazanym we wniosku,5. Wniosek po uzyskaniu akceptacji kierowany jest do administratora systemu do realizacji.6. Administrator systemu zakłada konto użytkownika w systemie o odpowiednim identyfikatorze zabezpieczone hasłem tymczasowym, którego zmiana jest wymuszona przy pierwszym zalogowaniu użytkownika zgodnie z ogólnymi zasadami panującymi w organizacji i szczegółowymi instrukcjami operacyjnymi specyficznymi dla danego systemu.7. Do zmiany uprawnień użytkownika znajdują odpowiednie zastosowanie punkty 1-5.8. Wniosek o przyznanie lub zmianę praw dostępu jest przechowywany przez administratora systemu. Kopia wniosku przesyłana jest do ABI.9. Konto zostaje usunięte przez administratora systemu na wniosek szefa jednostki organizacyjnej. Administrator systemu o fakcie usunięcia konta informuje ABI.

Czy wszystkie organizacje podlegają wymaganiom Ustawy o Ochronie Danych Osobowych? Jeśli tak, to jaką dokumentację na tą okoliczność należy posiadać?

Ustawie podlegają wszystkie organizacje, które zatrudniają pracowników (dane osobowe pracowników) lub przetwarzają dane osobowe osób fizycznych (np. sklepy wysyłkowe posiadają dane osobowe klientów).Powyższe przypadki różnią się od siebie tylko obowiązkiem zgłoszenia zbioru danych osobowych do GIODO. W pierwszym przypadku takiego obowiązku nie ma, w drugim zgłoszenie jest wymagane. Dokumentacja wymagana rozporządzeniem to: – polityka bezpieczeństwa – instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych Elementami, które powinny być częścią w/w dokumentacji są upoważnienia do przetwarzania danych osobowych, ewidencje osób upoważnionych, umowy powierzenia przetwarzania, (jeśli udostępniamy dane na zewnątrz, np. do centrum medycznego!).

Czy audytor wewnętrzny powinien mieć wgląd w teczki pracowników – zawierające dane osobowe pracowników? Czy audytor powinien podpisać klauzulę poufności?

Norma nie precyzuje tego zagadnienia, niemniej odrębne przepisy prawa regulują zasady i warunki dostępu do teczek osobowych pracowników. Audytor wewnętrzny nie powinien mieć wglądu w teczki osobowe pracowników, o ile jego zakres obowiązków tego nie umożliwia. Nie wiem też do końca czemu miałby służyć taki wgląd w teczki? Rozumiem, że chodzi o sprawdzenie kompletności teczek, zakresów obowiązków, szkoleń itp.; to wszystko jednak można sprawdzić bez przeglądania teczek. Dobrą praktyką jest rozmowa z osobą odpowiedzialną za prowadzenie teczek osobowych w firmie i na przykładzie jednej teczki (audytor nie powinien wiedzieć kogo to teczka) sprawdzenie: czy teczka jest kompletna, skąd wiemy, że jest kompletna, skąd wiemy co powinno być w środku itp. i np, czy odbyło się szkolenie BHP, proszę mi pokazać dowód z tego szkolenia, wtedy auditowany zasłania dane osobowe pracownika i pokazuje np certyfikat ze szkolenia z datą. W świetle wymagań normy i dobrych praktyk jest to jak najbardziej wystarczający dowód na spełnienie wymagań, a szukanie dowodów na spełnienie wymagań jest właśnie celem audytów. Jeżeli chodzi o klauzulę poufności polecam z praktyki żeby każdy audytor niezależnie od obszarów, które audituje miał taką klauzulę podpisaną, a już w przypadkach kiedy audituje obszary wrażliwe dla organizacji koniecznie. Co do zapisów w procedurze audytów norma nie wymusza takich stwierdzeń i tutaj decyzja należy do państwa.

OHSAS/PN-N 18001

Czy warto i jakie są korzyści wdrożenia systemu zarządzania bezpieczeństwem i higieną pracy zgodnego z wymaganiami normy PN-N 18001?

Organizacja może przedstawić dowody, że dba o bezpieczeństwo i higienę pracy. Jeśli zatrudniamy pracowników to mamy obowiązek zapewnić im zgodnie z prawem odpowiednie warunki pracy, szkolenia, środki ochrony inne wymagane prawem zasoby do realizacji zadań.Jest jednak pytanie Kto nam może to zweryfikować?Jaki jest poziom stanu BHP w naszej organizacji mogą sprawdzić służby wewnętrzne bhp, które w małych organizacjach pracują na część etatu lub są to wynajęte firmy dochodzące w ustalonych dniach do organizacji. Są jeszcze jednostki zewnętrze uprawnione do przeprowadzania kontroli bhp. ale mogą one do nas dotrzeć raz w roku a może raz na kilka lat i być może nie zawsze uda im się dotrzeć do wszystkich ważnych obszarów w zakresie bhp wymagających poprawy, doskonalenia a może wręcz radykalnych zmian w celu poprawy stanu bhp. Dobrze funkcjonujący system zarządzania bezpieczeństwem i higieną pracy jest skutecznym sposobem zapewnienia odpowiednio wysokiego poziomu bhp organizacji, oczekiwanego przez zainteresowane strony wewnętrzne i zewnętrzne jak również ze względu na konieczność przestrzegania przepisów prawnych obowiązujących w tej dziedzinie, jak i możliwość uzyskania odpowiednich dla organizacji efektów ekonomicznych. System zarządzania bezpieczeństwem i higieną pracy wymaga systematycznego podejmowania działań w zakresie podnoszenia poziomu bhp oraz systematycznego sprawdzania funkcjonującego systemu przez wyznaczonych do tego pracowników zwanych w systemie auditorami wewnętrznymi. Audit pozwala na sprawdzenie jak funkcjonuje system a stwierdzenie nieprawidłowości powoduje podejmowanie na bieżąco działań korygujących bądź zapobiegawczych w celu poprawy stanu bhp lub jego doskonalenia. Jeśli organizacja będzie poprawiać , doskonalić obszar bezpieczeństwa i higieny pracy będzie mogła mieć pewność, że uniknie ewentualnych obciążeń z tytułu np. kar nakładanych przez uprawnione do tego instytucje zewnętrze. Jednym z działań organizacji na rzecz wzrostu konkurencyjności organizacji. jest skuteczne zarządzanie bezpieczeństwem i higieną pracy. Spełnienie wymagań normy PN-N-18001 może być więc wykorzystywane do wykazania przez organizację stronom zainteresowanym, że właściwy system zarządzania bezpieczeństwem i higieną pracy jest wdrożony i utrzymywany. Najczęściej wymienia się n/w korzyści wdrożenia system zarządzania bezpieczeństwem i higieną pracy:- Usprawnienie wewnętrznej organizacji firmy w zakresie BHP,- Włączenie systemu zarządzania bezpieczeństwem i higieną pracy do całego systemu zarządzania organizacją;- Systematyczne planowanie działań na rzecz poprawy stanu bhp w organizacji- Poprawa świadomości wszystkich zatrudnionych w organizacji.- Oszczędności związane z zapobieganiem wypadkom- Oszczędności związane z powstawaniem chorób zawodowych,- Poprawa wizerunku firmy- mniej kontroli zewnętrznych. Przyjęty w polskich normach model systemu zarządzania BHP jest zgodny z modelami sytemu zarządzania jakością według norm serii ISO 9000 i systemu zarządzania środowiskowego według norm serii ISO 14000. Dla firm które już posiadają wdrożony system ISO 9000 lub ISO 14000, koszty związane z wdrożeniem kolejnego sytemu PN-N-18001 są już znikome, gdyż wszystkie te systemy są ujednolicone i opierają się na podobnych założeniach i zasadach. Normy ISO wymuszają podejście procesowe, co gwarantuje, że identyfikacji podlegają wszystkie procesy jakie odbywają się w firmie pod kątem zapewnienia bezpieczeństwa i higieny pracy. Gwarantuje to, że dzięki wdrożeniu sytemu zarządzania BHP wg PN-N-18001 pracodawca może wyregulować wszystkie procesy, tak że staną się bardziej efektywne, skuteczne i co najważniejsze – bezpieczne.

Czy przegląd systemu zarządzania jakością musi się odbywać w formie spotkania kierownictwa? (norma jasno tego nie mówi) Czy też może być to mailowe przesłanie do Pełnomocnika wszystkich danych wejściowych przez kierownictwo i odesłanie im podsumowania oraz zatwierdzenie przez Prezesa?

Formalnie nie musi się odbyć spotkanie, forma w której pełnomocnik zbiera informacje i przekazuje podsumowanie w formie raportu z przeglądu do Prezesa Zarządu jest często praktykowana i w pełni akceptowana przez Audytorów, proszę tylko pamiętać, że taki raport powinien być podpisany przez prezesa, jako ‘zaakceptowany’ – powinniśmy móc wykazać, że się z nim zapoznał.

W Firmie odbył się audyt przeprowadzony przez jednostkę certyfikującą. Proszę o pomoc w kwestii działań, poauditowych, które powinny zostać podjęte, gdzie zapisać to co się zdarzyło.

Najlepszym źródłem informacji jest sam audytor w trakcie audytu, a dopiero potem zapisy w jego raporcie.
1. Obszary do poprawy – podniesienie kwalifikacji audytorów wewnętrznych. Odp: Sugeruję zorganizowanie szkolenia doskonalącego dla audytorów wewnętrznych – zapis w raporcie pojawił się najprawdopodobniej z dwóch powodów: od dawna nie było żadnego szkolenia dla audytorów, lub raporty z audytu są niskiej jakości.
2. Doskonalenie metodologii auditu wewnętrznego z naciskiem na uwzględnienie jako jeden z celów auditu doskonalenie systemu zarządzania. Odp: w powiązaniu z pierwszym zapisem wydaje mi się, że audytor sugeruje jednak, że przeprowadzane audyty są słabe: np.: obejmują tylko wybrane fragmenty, brak jest dowodów na zgodność/niezgodność, brak opisów, ustaleń itp. Rozwiązaniem może być organizacja szkoleń i warsztatów doskonalących (jak w pkt. 1) lub zlecenie przeprowadzenia audytów wewnętrznych na zewnątrz (np. nam lub podobnej firmie)
3. Doskonalenie metodologii projektowania z naciskiem na uwzględnienie jako jeden z celów przeglądu doskonalenie systemu zarządzania. Odp.: Ten zapis jest mocno niejasny – nie bardzo wiem, co audytor miał na myśli wiążąc doskonalenie projektowania z przeglądem doskonalenia!? O co może chodzić:- o poprawienie metodologii projektowania – coś w projektowaniu audytorowi nie podobało się – wskazany dowód może pomóc w zidentyfikowaniu tego miejsca – i tu trzeba coś poprawić;- o uwzględnienie w przeglądach projektowania (wymaganych normą) kwestii doskonalenia (!?)- o uwzględnienie w przeglądach doskonalenia systemu zarządzania (może chodzi o przegląd zarządzania lub może Państwa system zakłada przeprowadzanie czegoś takiego jak przeglądy doskonalenie systemu zarządzania – norma wymaga przeglądu zarządzania) doskonalenia. Ostatnie zagadnienie krąży wokół tematu doskonalenia w projektowaniu – albo jego braku, albo doskonalenie występuje,ale “poza” systemem.

ISO 62304

Czy można się posługiwać normą 62304 jako podstawą do przeprowadzania testów walidacji oprogramowania wyrobów medycznych? Proszę o podpowiedź innych norm powiązanych tematycznie, rozszerzających tematykę walidacji oprogramowania. Czy w tym temacie są normy z serii dodatkowych, tzw.

Walidacja oprogramowania: norma ISO 62304 (Medical device software — Software life cycle processes) jest normą dotyczącą cyklu życia oprogramowania, a więc obejmuje również odbiór, testowanie, utrzymanie i wprowadzanie zmian do oprogramowania i jako taka z powodzeniem może służyć jako element procesu walidacji. Grupę wymagań dotyczących już konkretnie samego procesu walidacji oprogramowania można znaleźć na stronach FDA (U.S. Food and Drug Administration) www.fda.gov. Pełna walidacja oprogramowania moze wtedy przebiegać wg modelu V. Dokumenty w walidacji wg modelu V to: URS (User Requirements Specyfication) – Wymagania odnośnie oprogramowania wyrażone w sposób zrozumiały dla użytkownika. FS (Functional Specyfication) – Szczegółowy opis poszczególnych funkcji oprogramowania realizujących URS. DS (Design Specyfication) – Szczegóły techniczne dla rozwiązań opisanych w FS. DQ (Design Qualification) – Potwierdzenie, że rozwiązania przyjęte w DS będą działać poprawnie i realizować funkcje określone w FS. IQ (Instalation Qualification) – Potwierdzenie poprawności instalacji poszczególnych elementów oprogramowania na docelowych maszynach. OQ (Operational Qualification) – Potwierdzenie poprawności działania wszystkich funkcji systemu w środowisku użytkownika. PQ (Performance Qualification) – Potwierdzenie, że elementy oprogramowania współpracują ze sobą i oprogramowanie spełnia wymagania zawarte w URS. Dodatkowe normy to: ISO 90003, zarządzanie zmianami w ISO 20000-1/2, zabezpieczenia z Załącznika A – pkt. 10, 11 i 12 z ISO 27002, ISO 19770 – Zarządzanie oprogramowaniem, ISO/IEC 29119 Software testing, ISO 14598 części 1-6 – proces oceny jakości oprogramowania.

FSC/PEFC/SFI

Planujemy wdrożyć u siebie FSC, chciałbym się dowiedzieć jakie są podstawowe wymagania tej normy?

Podstawowe wymagania obejmują trzy główne aspekty: identyfikacja, segregacja i dokumentacja. Identyfikacja – wszystkie produkty wyprodukowane z surowców pochodzących z certyfikowanych źródeł (lasów lub tartaków) są jednoznacznie i wyraźnie oznaczone; Segregacja – wszystkie produkty pochodzące z certyfikowanych źródeł są oddzielone od innych produktów (wyłączając system kredytowy); Dokumentacja- istnieją procedury i instrukcje robocze oraz dokumentacja dotycząca: zakupu i magazynowania surowca, produkcji i magazynowania wyrobów finalnych;

W Firmie odbył się audyt przeprowadzony przez jednostkę certyfikującą. Proszę o pomoc w kwestii działań, poauditowych, które powinny zostać podjęte, gdzie zapisać to co się zdarzyło.

Najlepszym źródłem informacji jest sam audytor w trakcie audytu, a dopiero potem zapisy w jego raporcie.
1. Obszary do poprawy – podniesienie kwalifikacji audytorów wewnętrznych. Odp: Sugeruję zorganizowanie szkolenia doskonalącego dla audytorów wewnętrznych – zapis w raporcie pojawił się najprawdopodobniej z dwóch powodów: od dawna nie było żadnego szkolenia dla audytorów, lub raporty z audytu są niskiej jakości.
2. Doskonalenie metodologii auditu wewnętrznego z naciskiem na uwzględnienie jako jeden z celów auditu doskonalenie systemu zarządzania. Odp: w powiązaniu z pierwszym zapisem wydaje mi się, że audytor sugeruje jednak, że przeprowadzane audyty są słabe: np.: obejmują tylko wybrane fragmenty, brak jest dowodów na zgodność/niezgodność, brak opisów, ustaleń itp. Rozwiązaniem może być organizacja szkoleń i warsztatów doskonalących (jak w pkt. 1) lub zlecenie przeprowadzenia audytów wewnętrznych na zewnątrz (np. nam lub podobnej firmie)
3. Doskonalenie metodologii projektowania z naciskiem na uwzględnienie jako jeden z celów przeglądu doskonalenie systemu zarządzania. Odp.: Ten zapis jest mocno niejasny – nie bardzo wiem, co audytor miał na myśli wiążąc doskonalenie projektowania z przeglądem doskonalenia!? O co może chodzić:- o poprawienie metodologii projektowania – coś w projektowaniu audytorowi nie podobało się – wskazany dowód może pomóc w zidentyfikowaniu tego miejsca – i tu trzeba coś poprawić;- o uwzględnienie w przeglądach projektowania (wymaganych normą) kwestii doskonalenia (!?)- o uwzględnienie w przeglądach doskonalenia systemu zarządzania (może chodzi o przegląd zarządzania lub może Państwa system zakłada przeprowadzanie czegoś takiego jak przeglądy doskonalenie systemu zarządzania – norma wymaga przeglądu zarządzania) doskonalenia. Ostatnie zagadnienie krąży wokół tematu doskonalenia w projektowaniu – albo jego braku, albo doskonalenie występuje,ale “poza” systemem.


Jeśli nie znalazłeś odpowiedzi na nurtujące Cię zagadnienie, wyślij do nas swoje pytanie, a nasi konsultanci bezpłatnie przygotują na nie odpowiedź!