неделя, 17 ноември 2019 г.

ISO 19011 - Одити на системи за управление. Записки. Част 4

Програма за одити

Първо, да погледнем на Програмата по чисто практически начин.

Съдържание
Програмата за одити, ако си я представим като един документ, може да се състои от две части:
  • график-разпределение на одитите за периода на действие на Програмата
  • дейности, чрез които се цели ресурсно и всяко друго осигуряване за одитите в графика
В практиката много често Програмата съдържа само първата част - график и то годишен.
Разчита се това, че когато този график бъде утвърден и подписан от първия ръководител, то с този подпис, по подразбиране следва, че всеки заложен в графика одит ще се изпълни когато е планиран, ще получи и ще може да разполага с нужните за него всякакъв вид ресурси и друго, ако се окаже нужно, осигуряване. В това има резон и може да се приеме, но все пак по-доброто решение, особено в случаите на по-натоварени с одити графици, да се разработва и втората част на Програмата, която се грижи за общото и за ресурсното им осигуряване.

Нека да коментираме графика и дейностите за осигуряване.

График-разпределение
Когато се прави графика, той обикновено е годишен, се мисли основно по два въпроса.
Първо, колко на брой и кога да бъдат одитите? И второ - как да се разпределят проверките?

На първият въпрос често отговорът е само един одит, който се провежда в момент предхождащ първоначалния сертификационен одит или редовния надзорен одит. Решението е типично за малки и средни по численост на персонала организации, в които системите не са големи. Ако това е вярно, нека се каже още, че има и "нетипични случаи", в които малките и средни фирми или организации залагат по няколко одита в годината и постъпват така докато системата е още "млада" и все още не се е усвоила твърдо. Разпределението на одитите в такива случаи често е по разделите на стандарта. Ако стандартът е ISO 9001, то одитите по раздели на стандарта са:

  • по раздели 4 и 5
  • по 6 и 7
  • по 8
  • по 9 и 10 
Така ще са напълно достатъчни само четири вътрешни одита. По един на тримесечие. А нататък, когато системата "остарее" и се стабилизира и когато одиторите добият достатъчен опит, тези четири одита може да се редуцират до три или два, а накрая - един. Но накрая!

А може разпределението на одитите да не се води по разделите на стандарта, а да е с по-друга насоченост - по звена, по процеси, по документи с изисквания... и накрая - да е комбинирано.

По-големите организации имат по-развити системи по простата причина, че включват повече и може би по-сложни процеси. Очаква се в тях графикът да залага няколко одита, разпределени така, че да бъде проверена цялата система, ако е само една, или да бъдат проверени всички организационни звена в обхвата на тази система. Ако системата е една, но е интегрирана от компонентите качество-екология-безопасност-друго, това не променя много нещата, защото пак ще са необходими няколко вътрешни одита. Ако някой опита да направи един вътрешен одит на такава интегрирана система и го "опатка" за един ден, това ще е одит по метода на "сляпата кучка" или "бързата работа - срам ...". Никой не би се осланял на добрата съвест при едно такова решение.

В същото време броят одити в годината няма норма и мярка, която да позволява да отсъждаме твърдо и категорично поведението на организациите. Има случаи, в които много голяма фирма с няколко изнесени и на други територии звена, прави само два одита (пролетен и есенен) годишно, при което есенният одит предхожда надзорния от третата страна. И това е добра и подходяща практика, защото всеки от тези два одита всъщност е нещо като макроодит и се провежда с много обекти за проверка в рамките на цяла една седмица и с участие на целия одиторски състав - над 10 човека. И за да е ясно, че няма норма и мярка за броя, нека видим и още един пример - пак много голяма фирма прави подробни проверки, чрез 80 одита годишно и с участие на екипи, сформирани от общ фирмен състав на одиторите от над 60 човека. Какво виждаме - две съвсем сходни "по калибър" фирми реализират ефикасни одити по два съвсем различни начина и могат, всяка от тях, да аргументира убедително прилагания от нея подход.

Когато Програмата, т.е. графикът, включва един или няколко одити с насоченост единствено да се определи простото съответствие на система(и) или, още по-зле, единствено за да се напишат планове и доклади като доказателство за пред външни одитори, че е имало вътрешен одит, то е все едно да свириш на пиано с един пръст, в една октава и само едно най-простичко парче - като "Котешки марш" - да мислиш, че е достатъчно, да си доволен и да се смяташ за пианист.



Не сме свикнали да четем и да обръщаме внимание на раздела "Въведение" на стандартите.
Но ето какво пише в този раздел на ISO 19011 ...

"Резултатите от одит могат да предоставят входни елементи за аналитичния аспект при планирането на дейности и може да допринесат за идентифициране на потребностите и дейностите за подобряване." (БДС EN ISO 19011:2018, Въведение)

Дори най-повърхностния прочит на този текст говори ясно, че одитите може да са сериозен инструмент, с насоченост да бъде полезен за фирменото управление при анализи, замисляне на подобрения и при планиране на бизнеса. Който седне да замисля и пише Програма за одити в една фирма, би трябвало преди това да е станал наясно какво важно за бизнеса предстои през следващия планов период, какви фирмени цели са поставени, какви бизнес-планове са задействани, какви проекти ще текат и други още неща... Тогава Програмата ще съдържа освен одити за проверка на системите и други одити с насоченост и с цели, които обслужват реални нужди на фирменото управление. Може да е само един или да са само два-три такива одити, те пак ще стигат да се създаде култура, че с одити може да се наглежда всичко, което е важно.

Дейности и ангажименти, чрез които се цели ресурсно и всяко друго осигуряване за одитите
Какви ще бъдат те става ясно след като е съставен графикът, но те ще имат насоченост към
  • осигуряване и насочване на всякакви необходими ресурси за всеки конкретен одит. Основната идея е нито един одит да не закъсва и да не се затруднява, поради липса или недостатъчност на някакъв ресурс, а също и да се планира всичко друго необходимо
  • грижа за обогатяване с нови и подобряване на вече разполагаеми ресурси, които ще се ползват за нуждите на процеса одит - квалифицирани одитори, методическа база, обмяна на опит, техническа база, актуализиране на документи и т.н.
Какви ще бъдат сроковете за тях - те са ясни, когато ще се осигуряват ресурси за конкретен одит, планиран за определен момент. Но може да има дейности и ангажименти по обогатяване и подобряване на ресурсната основа, които ще имат срок "постоянен" или "в края на годината", ако Програмата е за годишен период


Изпълнение на одит и Пестеливо документиране
би следвало да са следващите две части, с които да приключат Записките. Но се налага преди тях да вклиним тема за отговор на въпроса

"Какво трябва да променим в документите си, поради това ново издание на стандарта?"
(ще следва като Част 5 на Записките)


петък, 8 ноември 2019 г.

ISO 19011 - Одити на системи за управление. Записки. Част 3

Принципи на одитиране
Принципите - те са седем:
  • етичност
  • безпристрастно представяне
  • професионална добросъвестност
  • опазване на професионалната тайна
  • независимост
  • подход, основан на доказателства
  • подход, основан на риска
Как да използваме принципите?
Запознавайки се с принципите трябва да насочим внимание към улавяне на духа или смисъла на всеки един принцип. Принципите не могат да се изпълняват точно и буквално като зададени изисквания. Принципите, чрез заложените в тях дух и смисъл, ни създават основа за практики по одитиране. Ако в практиката възникне ситуация или трябва да се реши въпрос, който не е възниквал и трябва да се намери решение или начин на действие за първи път, то един много добър ориентир може да бъде подходящия за случая принцип(и). Ако намереното решение се вписва в постановките на принцип(и), то с голяма вероятност то ще е адекватно и вярно.

Не може да се направи строго "разпределение", с което да се избира кой от принципите да се приложи в даден момент. В някаква степен всеки от принципите е приложим във всяка стъпка на одитния процес. Как и доколко става това - преценката е наша и трябва да си я намираме.

Какво ни говорят принципите?
Освен с буквалните си формулировки, както са дадени в стандарта, принципите могат да бъдат прочетени и със смисъл, намерен "между редовете" на стандарта. Ако е така, какво ни говорят?

Буквалните формулировки трябва да ги прочетем и осмислим. 
Да опитаме да видим какво има между редовете.

(1) Етичност
От одитора се изисква взискателност към себе си - на професионална и на етична основа
Иска се внимание и уважително отношение към одитираните и към всички други участници.
С две думи - преди да си станал одитор трябва да си станал човек.
Това е причина този принцип негласно да е обявен за водещ. Стандартът го определя изрично като "Основа за професионализма". Да си го кажем направо - ако си скандалджия, болезнено мнителен, грубиян, натрапник, ако будалкаш и се извърташ, ако ... то не си одитор изобщо!

(2) Безпристрастно представяне
Вече знаем (в Част 2 на Записките), че по дефиниция одитът е документиран процес.
Този принцип налага документираното да отговаря точно на действителното.
Особено важно е това да се прилага при съставяне на констатации и заключения.
Има още два момента, с които този принцип е допълнен:
  • значими пречки, възникнали в хода на одита се вписват в доклада. Одиторът не премълчава и не укрива проверки, които, така или иначе, не са били извършени поради някаква причина. Нататък информацията за неизпълнени проверки ще се ползва при планиране на следващ одит
  • различаващи се мнения (между одитор/одитиран или между екип/организация) също се вписват в доклада
(3) Професионална добросъвестност
Важен елемент на тази "добросъвестност" е, че одиторските преценки са винаги обосновани.
Този принцип няма как да бъде нарушаван от професионални одитори от трета страна. Те чрез него си "вадят хляба". По-голяма опасност има вътрешните одитори, които иначе, когато не одитират, са специалисти, работници и служители - всеки на своето място - за деня на одит да имат нагласата, че това е ден за разтоварване и разнообразяване от скучната им "основна" работа. В деня, в който има одит, тези хора също имат задачи, които следва да се свършат професионално, с грижа и с разбиране, че се носи отговорност за изпълнение и резултати.


(4) Опазване на професионалната тайна

Става дума за сигурността, относима към всякаква информация, свързана с вътрешните одити.
За един одит - как е проведен и как е приключил - не се говори и не се споделя по неформални начини. За един одит се пишат документи и тези документи, в т.ч. може дори да става дума и за работните записки на одиторите, трябва да са защитени и се опазват от неправомерен достъп. 

(5) Независимост
Вече знаем, че по дефиниция одитът е определен като независим процес.
Като достатъчен минимум се очаква одиторът да няма отговорности, свързани с резултатите от одитираната дейност. Или отговорности за дейността като цяло и изобщо. "Граван гарвану ..." не одитира :) Но има организации и фирми, съставени само от "гарвани" - типично за адвокати, спедитори, преводачи, софтуерни и друг подобен вид малки до средни фирми с крайно опростени и сплескани йерархично структури. При тях всички са с един и същ професионален профил и изпълняват един единствен вид дейности. Решението при тях може да бъде на база различни проекти (за софтуера), различни направления или методи (за спедитори), различни по характер дела (за давокати), различни езици (за преводачи) и т.н. 

При описване на този принцип въображението на авторите на стандарта или се е изчерпало, или ги е домързяло да поясняват повече, поради което са написали (следва дословен цитат) - "При малки организации ... да се положат всички усилия за създаване на безпристрастност и  за насърчаване на обективността". 

Едно универсално и почти напълно гарантирано решение за безпристрастност и  обективност е малката или среда организация да си повика външен експерт като одитор и да му плати за това. Друго решение може да е размяна на вътрешни одитори между добре познати и доверени помежду си организации на принципа "Ти на мене - аз на тебе"

(6) Подход, основан на доказателства
Отново от дефиницията за одит (в Част 2) ясно виждаме, че доказателствата са в основата на всичко в одитния процес.Целта на одита и критериите насочват къде да търсиш доказателства, а после остава само да ги оцениш (обективно!). Лесно се стига до извод, че колкото повече доказателства, толкова по-сигурни констатации и заключения... Но има нещо важно, което стандартът деликатно напомня (дословен цитат) - "Доказателствата от одит трябва да бъдат проверими. Обикновено те трябва да се основават на извадки от наличната информация, когато одитът се извършва с ограничена продължителност и ограничени ресурси." В това изказване под "наличната информация" явно се има предвид "тази която обектът на одит съдържа и/или може да предложи". И нека бъдем реалисти - винаги ресурсите, в т.ч. времето за одит са ограничени. С две думи - без извадки не може! Как се правят извадки - стандартът тук казва "... по подходящ начин", а нататък за извадките в стандарта е писано отделно и обширно. А ние бихме препоръчали този подходящ начин да бъде съобразен с чисто практически ориентири, за които може да стане дума по-нататък в тези Записки.

(7) Подход, основан на риска
Както за всяка една работа, така и при одитирането имаме рискове, носещи вреди, а има и възможности, водещи до ползи. Естествено балансът рискове/възможности може всеки път и за всяка ситуация да е различен и това ни ангажира да правим преценки в одитния процес. За всяка една дейност какви може да са рисковете и какви възможностите. Реакцията ни след едно добро и пълно опознаване на рисковете и възможностите следва да бъде такова планиране, което ще включи действия и мерки за регулиране на баланса вреди/ползи с идеята да се разчисти пътя за постигане на основния очакван резултат от един одит - постигане на целите на одита, а оттам и за постигане на целите на Програмата за одити


Програма за одити ...
Това ще е темата в материала със заглавие "ISO 19011 - Одити на системи за управление. Записки. Част 4". Предстои да бъде написан с амбицията да внуши колко важна е тази Програма ... :)

сряда, 6 ноември 2019 г.

ISO 19011 - Одити на системи за управление. Записки. Част 2

Какво е "одит" на система за управление?
По дефиниция това е -
"систематичен, независим и документиран процес за получаване на обективно доказателство и обективното му оценяване, за да се определи степента, до която са удовлетворени критериите за одит"

В това определение виждаме, че одитът е процес с три определящи характеристики - той е систематичен, независим и документиран. Тях ще коментираме малко по-късно. Сега може да се каже, че която и от трите характеристики да липсва, одитът ще е значително опорочен.

Спираме се на дейностите, които включва процесът и те са две - 
1) получаване на обективно доказателство и
2) обективното му оценяване

Резултатът, който следва да се получи от тези две дейности е "степента, до която са удовлетворени критериите за одит". Критериите за одит - това са изискванията, които сме решили (или са ни възложили) да проверим при одита. Тук е интересно да коментираме думата "степен". Степен е онова, което е някъде между двете крайни състояния, които сме свикнали да търсим. А те са "съответства"/"несъответства". Казано по-общо - това е бинарната логика, която има само две стойности - "има"/"няма", "черно"/"бяло", "единица"/"нула". Само че някой път резултатът от обективното оценяване ни кара да мислим и да определяме "степен". Това е ситуация, при която (нека пак се изразим образно) няма "черно" или "бяло", а е нещо между тях - т.е. нека да кажем "сиво". В такива случаи одиторът ще е длъжен да се изрази ясно, за да се определи дали установената степен на удовлетворенение е по-близо до "пълно удовлетворение" или е близо до "пълно неудовлетворение", или е около средата между тях. Има хора, които казват, че одиторът, също като фотограф, прави черно-бяла снимка на изследвания обект, в която може да видим всички нюанси на "сивото". И снимката не подлежи на ретуш ...

Така освен крайни оценки от типа "съответства"/"несъответства" одиторите може да дадат резултати от оценяване изразени с понятията за равнище на степента - ниско, средно, добро, много добро. Равнищата може да са повече от тези или пък по-малко. Колко ще са те и как ще се определят че да няма субективно отплесване - това е най-добре да го каже отделна методика или раздел "метод за оценяване" на една процедура за одити.

Още нещо - вижда се явен акцент за обективност - както на доказателството, така и на оценяването. Как да се осигури обективност е въпрос, който не винаги е лесен за отговор... Това също ще коментираме допълнително по-нататък.


Какво е "одит" от гл. т. на организацията за изпълнението му?
Да видим организацията на одитния процес в най-общ план ...



Всеки един одит е планиран с цел(и), време на провеждане и обект/обхват в Програма за одити, която засяга някакъв период (по-често едногодишен). Може да има и извънредни одити.

При зададени цел(и) и обхват на одит става ясно кои са обектите на одита (места, които ще бъдат посетени за проверка), а заедно с това и документите, които съдържат изисквания. В тези документи обръщаме внимание само на тези изисквания, които са свързани или относими към целите и обхвата на одита. Те са критерии. Критериите ни ориентират за определяне на екипа одитори, като при това търсим да постигнем всеки в екипа да е компетентен и независим. За един екип може да търсим и колективна компетентност (един знае едно, друг - друго и така го допълва) за този одит. Екипът си съставя план за одита и при най-добро желание прави този план подробен и описателен, включително с посочване на метод(и) за изпълнение на всяка една проверка. Остава само този план да бъде изпълнен - т.е. да се намерят доказателства за всяка една планирана проверка и да се направи оценяването им, изразено чрез констатации. Накрая цялата така събрана информация, заедно с отчитане на зададените цели за този одит, служи за извеждане на заключение от одита. Съставя се и се разпространява писмен доклад или протокол към съответни абонати и така одитът приключва.

Кое е най-важното понятие?
Сигурно може да има различни мнения по това, но тук смятаме, че терминът "доказателство" е най-важното понятие и правилното му разбиране има критично значение за одитния процес.

Доказателството от одит е -
"записи, излагане на факт или друга информация, които са свързани с критериите за одит и са проверими"
От този текст веднага разбираме, че има три основни вида и източници на доказателства

  • записи. Да разсъждаваме по-общо - документи и записи с данни, които ни интересуват
  • излагане на факт. Може да си мислим, че това е случай, при който одитор пита нещо и получава отговор(и) от одитиран колега
  • друга информация. Навярно това е всичко, което сме видяли и разбрали по някакъв друг начин - например чрез наблюдение на изпълнение на работа или състояние на нещо
Трите вида доказателства може да наречем най-общо "информация" и тогава тук става важно да се разбере, че не всяка информация ще е доказателство от одит. Тя ще е доказателство, ако

1) е свързана с критериите за одит
2) е проверима - т.е. да може повторно да бъде установена, ако не изцяло, то поне в най-важните си части - по същество. Проверимостта на намерено доказателство може да се осигури по време на самия одит чрез фактографиране - одиторът си записва какво е доказателството, къде е разкрито, при кого и други данни, ако се сметнат за необходими. А необходимостта се преценява с оглед на ситуации, които може да наложат доказателството да бъде препроверено дори и от друг одитор или друго длъжностно лице. В интерес на истината такива ситуации не са чести, а напротив - може да са твърде редки и само в особени случаи.   

Ако одитор не познава добре смисъла на термина "доказателство от одит", той допуска грешката да не приема излагането на факти за самостоятелно доказателство, а ще иска и подкрепящо доказателство във вид на запис или пък подкрепящо доказателство във вид на изпълнение на работа, за да може "око да види". 

Как лисицата се завъртя така, че си захапа опашката?
Във второто издание на стандарта нямаше термин "обективно доказателство". Сега обаче има!
Обективно доказателство е -
"данни, подкрепящи съществуването или истинността на нещо"
За да се разбере смисъла на този термин и връзката му с "доказателство от одит" ще е нужна най-малкото продължителна и много дълбока медитация. Един педант би попитал "А какво, според тази дефиниция е данни?" и още "Всяко ли нещо може да е нещото от дефиницията?"

Възниква подозрение, че бащите-творци на стандарта, в тази му част, леко са залитнали.
Има обаче едно ключе към разчистване на мъглата и то е в Забележка 2 към този термин...
Забележка 2 -
"Обективното доказателство за целите на одит обикновено е записи, излагане на факти или друга информация, свързана с критериите за одита и проверима"

Ако направим заместване на подчертания текст с неговия термин-еквивалент, получавамв, че
"Обективното доказателство за целите на одит обикновено е доказателството от одит" 
или още по-подробното
"Данните, подкрепящи съществуването или истинността на нещо, за целите на одит обикновено са доказателствата от одит"

Ами сега?! Та, ето как Кума Лиса си захапа опашката, а потребителите на стандарта могат да прекъснат дълбоката си безплодна медитация. Одиторите следва да са хора с практически усет


И все пак, ако възникне някаква екстремна и свирепа одиторска патаклама, ние, като хора практици, следва да сме готови с данни, че доказателството ни не е лъжовно, че не е менте!

Да видим три примера, които се опитват да направят точно това...
1) Доказателството от одит е от вида друга информация. Одиторът е видял палет с детайли, изоставен на пода насред пътеката, означена с ленти за свободно преминаване.
Обективното доказателство е снимка на този палет, както е в зоната за свободно преминаване

2) Доказателството от одит е от вида излагане на факти. Одиторът е попитал "Въведена ли е електронна система за управление на материалите в склада?" и е чул ясен отговор - "Да."
Обективното доказателство може да е складов документ, който тази системата е генерирала или Протокол от изпитване на системата при нейното инсталиране, или ... други данни

3) Доказателството от одит е от вида записи. Одиторът е преглеждал поредица от записи в  "Регистър на рекламации и сигнали от клиенти"
Обективното доказателство е това, че одиторът си е записал подробно един от записите, например - последният, с дата, клиент, продукт, начин на обработка и ... досадно е, нали?

Излиза, че едно грижливо и подробно фактографиране може да даде резултат близък до смисъла на понятието "обективно доказателство". Остава да се питаме "А това не намалява ли ефективността на одитирането", защото докато се занимаваме да търсим и описваме "данни, подкрепящи съществуването или истинността на нещо", а нещото е вече готово намерено доказателство от одит, времето си тече. А времето е пари, а и не само пари...

Някой може да каже "Ама в примера за ситуация 1) тази снимка може да се изфабрикува с фотошоп-а или по друг начин подкрепящите данни да са фалшиви, нагласени, редактирани... "

Но ние говорим сега за вътрешен одит - т.е. има ли смисъл ние самите да залъгваме себе си? 
Че даже и да е външен одит - пак няма смисъл. Одитирането не търпи лъжи, а изкушения в тази посока не липсват. Примери за едно или друго от минали дни също не липсват...  

В тази Част 2 на Записките тръгнахме от дефиницията за одит и я коментирахме.
Преди доста време, в отговор на зададен въпрос, се наложи да измисляме и друга дефиниция, по-подходяща за вътрешен одит, но доста неформална.

Ето неформалната дефиниция -
"Вътрешният одит е действие, при което едни наши колеги, обучени за да бъдат одитори, отиват на гости при други свои колеги, за да се порадват на добрите им практики и да си поговорят за работа в работно време."    

Тук също има знакови моменти...
Защо отиват? На гости ... Как се ходи на гости? Как домакини посрещат гости?
С каква нагласа? Да се порадват как колегите им работят добре ...
Каква е общата цел? Да се поговори за работата... Това говорене също е работа, а цел и резултат трябва да бъдат възможностите за подобряване. Защото такива винаги и навсякъде има!

Разбира се при това има правила. Ако все пак се окаже, че нещо не е в ред - описва се като несъответствие. Спокойно, без емоции, ако трябва - обсъжда се... Но винаги и след одита ние си оставаме приятели и колеги каквито сме били и преди него.

Принципи на одитиране ...
Това ще е темата в материала със заглавие "ISO 19011 - Одити на системи за управление. Записки. Част 3". Предстои да бъде написан с идеята, че принципите не са нещо скучно и излишно - напротив, има начин да ни помагат :)















вторник, 5 ноември 2019 г.

ISO 19011 - Одити на системи за управление. Записки. Част 1


ISO 19011:2018 Guidelines for auditing management systems
ISO 19011:2018 Указания за извършване на одит на системи за управление



Тези записки са свързани с третото издание на ISO 19011 от 2018 година. 
Включват материал, който се представя в модулните обучения - М03А 
в системата на Алфа Куолити България с водещ Бончо Антонов


ISO 19011, както и всички други стандарти, които може да ни интересуват, ще намерим в БИС. 
БЪЛГАРСКИ ИНСТИТУТ ЗА СТАНДАРТИЗАЦИЯ

Четири начина за закупуване на стандарти и други материали от БИС
1. Информационен център на БИС, София, жк. “Изгрев”, ул. "Лъчезар Станчев" № 13, етаж 1
2. On-line www.bds-bg.org 
3. факс +359 2 873-55-97
4. електронна поща      info@bds-bg.org

"Нови" одитори
За "нови" одитори се препоръчва внимателно проучване на стандарта като "самоподготовка".
Нататък, когато това проучване приключи, може да препоръчаме нещо като "пътна карта" за продължаване и поддържане на подготовката като одитор:
  • участие в одити
    Практиката учи, особено собствената практика. Без реални участия в одити има опасност да се получи "книжен одитор" - човек, който само ходи на обучения, взема документи от тях, но не одитира.
  • съпровождане на външен одит
    Винаги може да си уредите да съпровождате външен одитор. Ако одиторът е професионален и го съпровождате, ставате свидетел на много добри, но понякога, за съжаление, и на не толкова добри или направо лоши практики. Всичко това учи. 
    Един съвет - не досаждайте на външния одитор с въпроси и не се мъчете да му помагате.
    Бъдете безмълвна сянка, наблюдавайте и се обаждайте само ако ви питат нещо...
  • одит при доставчик
    Ако сте вътрешен одитор във вашата организация, много е вероятно да ви възложат изпълнение на такъв одит при ваш доставчик. Приемаме, че поготовката и изпълнението на такъв одит могат да минат и за стъпка в подготовката, защото в този случай вие се стараете особено за този одит, за да не се изложите нещо пред доставчика
  • специализирани обучения
    Може да се каже, че стандартът е организационен и методически документ и може да се научи много в тези два аспекта. Но при одит има и нещо друго - работи се с хора и то с различни хора. За това стандартът е предвидил и обявил само един принцип и нищо повече по същество. Затова "специализирани" са обученията, които ни казват как се работи с различни хора в различни ситуации и как се управляват ситуациите. Може да има и друг вид специализирани обучения - например, как се преглеждат и анализират документи, как се наблюдават изпълнения и състояния и други подобни. Обикновено ние си мислим че знаем тези неща, но е лесно да се надценим и заблудим. Нужно е обучение.
  • наблюдавани учебни одити
    Това е една консултантска услуга, която в миналото много "вървеше" и Алфа Куолити я проведе при много от големите и знакови български фирми. Целта на услугата е да подготви "на терен" вътрешните одитори на една фирма и след това да провери нивото на подготовката чрез наблюдение как се изпълнява един учебен одит. Изпълнението може да се заснеме с цел след това да се анализира. Може да включи подготовка на изкуствени доказателства и несъответствия, което да е известно или неизвестно на одиторите. Накрая следва доклад на консултантите, които дават общи оценки и препоръки.
  • ползване на жокер "Обади се на приятел"
    Всеки, който е минал модула М03А, разполага с възможността да попита и да поиска помощ за неща, с които се занимава и е стигнал до затруднения. Ще му помогнем и след това няма да му пускаме фактура за извършена услуга, защото вече се познаваме и сме тръгнали да ставаме приятели. А приятелите така си помагат.
По повод на тази пътна карта може да отбележим нещо важно. Одиторът, какъвто и да е той, не спира да се учи и подготвя. Никога не си мисли или казва "Вече знам това". Винаги търси нещо допълнително и ново да научи, за да си разшири и защити компетентността като одитор.

Да опитаме да очертаем профила на добрия вътрешен одитор
  • познава хората във фирмата
  • хората във фирмата го познават
  • познава добре процесите и практиките
  • мисленето му не е инертно
  • мисли логически и аналитично
  • отговорен човек, който си държи на думата
  • любопитен е, интересно му е
  • винаги (или поне когато е на одит) е комуникативен и приветлив
Има няколко особено критични лични качества
  • умее да се изразява ясно и кратко да обяснява
  • умее да пише правилно, стегнато и ясно
  • способен е да възприема всякаква информация
  • способен е да вниква в състава и съдържанието на документи
  • способен е да води целево насочен разговор
Накрая одиторът умее да комбинира способностите и качествата си, ако са полезни и да тушира (поне докато е на одит) онези свои особености, които не се вписват в добрия профил.

Ясно е, че в никоя фирма няма да се намери човек с всичките тези качества, Да не говорим за формиране на фирмен одиторски състав. Пак е ясно, че при това положение ще трябва да се разчита на самоконтрол, потушаване, комбиниране, допълване на профилни характеритики в рамките на всеки конкретен одиторски екип, който има определена задача.

Указания - това е различно от изисквания!
Както личи от заглавието, стандартът съдържа указания. Какво са указанията? Сбор от добри практики и полезни съвети, натрупани в изобилие, което, в повечето случаи, ще се окаже че е далеч над онова, което ни интересува във връзка с вътрешните одити. Или, казано с други думи, стандартът е широка, препълнена и пъстра сергия с добри практики и съвети, но ние, разхождайки се наоколо имаме свободата да харесаме или не всяка от тези добри практики. А която си харесаме може да усвоим напълно или само частично - пак преценката си е наша. Но никой не може да ни "търси сметка" защо не сме усвоили еди кое си указание. Изборът си е наш и той зависи от нашата грижа да си създадем или да подобрим вътрешните си одити.

Указанията са полезни с това, че когато се заемем да правим система или процес - в случая за вътрешни одити - създавайки документите за системата/процеса, ако гледаме указанията ще се подсетим какви изисквания да заложим в документите. Ако пък имаме действаща система/процес, то указанията ще ни бъдат полезни, ако сме се сетили за подобрения и търсим развитие на практиките.

Казано накратко - стандартът с нищо не не задължава, но ни подсеща и обяснява. Поради това ние го ползваме при създаване или при актуализиране на документи и практики. Така ние трансформираме незадължителните указания на стандарта в наши собствени изисквания, с които се самозадължаваме, когато ги поставим в процедури, инструкции или други документи.

Какво е ново при това трето издание на стандарта?
  • добавен принцип за подход, основан на риска
  • по-подробни указания за управление на Програма за одити и рисковете за нея
  • разширени указания за провеждане на одит, вкл. за планирането му
  • разширени базови изисквания за компетентност на одиторите
  • разширен Aнекс A с указания за одитиране на „новостите“ – контекст, ръководство и съпричастност, виртуално одитиране, законово съoтветствие (compliance) и доставчици
Има и други някои разлики и новости, обявени от съставителите на стандарта, но няма да ги коментираме специално, а по-скоро ще се пошегуваме с долната картинка ...


... все едно, че в щайгата със зелени ябълки една от ябълките е сменена с червена.
Духът и основното съдържание на второто издание са запазени, макар и не съвсем буквално, но достатъчно. Така че, който си знае отпреди стандарта, си запазва всичко научено, но и ще добави нещичко към него.

Да обърнем внимание на въведението...
Там някъде се казва, че резултатите от одит могат да послужат за анализи при бизнес-планирането и могат да са полезни за определяне на нужди от и работи по подобрения.

Тук дебело може да се подчертае - резултатите от одити не са полезни само с това, че се проверява формално системата за управление и се фабрикува доказателство, че си имаме одити, за пред външен одитор!

Друго за подчертаване е, че проверки чрез одити може да се правят не само по изискванията на стандартите за системи за управление, а и по други източници на критерии
  • политики и изисквания на заинтересовани страни
  • изисквания на закони и всякакви наши и чужди нормативни актове
  • изисквания за процесите на системата за управление
  • изисквания на планове на системата за управление
  • изисквания, свързани с технологии и практики
  • изисквания от правилник за вътрешен ред и организация на... нещо си
  • ...
В многоточието може да се запишат още какви ли не други изисквания, стига да има смисъл, от гледна точка на бизнеса, да бъдат поддържани, проверявани и да се търсят подобрения. Това отваря вратата стандартът да се прилага, чрез създадени на негова основа документи, за случаи на одити на информационни системи, изпълнение на проекти и всякакви други "несистемни" случаи, ако под "системни" разбираме системите за управление от типа ISO (MSS стандарти).

Иначе казано, стандартът може да бъде полезен като по него си разкроим и ушием "по мярка" система или процес, чрез който да поддържаме с проверки онова, което е важно за бизнеса.


Но така създадения процес на одитиране, както всичко при системите, подлежи на актуализации и подобрения за нагаждане според (изброени напосоки, но непълно):
  • размер на организацията
  • състояние и зрелост на система
  • характер и сложност на бизнеса
  • цели и обхват на одитите
Всяко от горните може да е променливо, а оттам следва, че поне някои промени ще се налага да се усвояват и от нашия процес на одитиране.

Какво е одит на система за управление?  
Отговорът на този въпрос ще видим в следващия пост
"ISO 19011 - Одити на системи за управление. Записки. Част 2" - когато бъде написан ... :)

сряда, 16 октомври 2019 г.

ISO/IEC 27001 - Внимание! Господ е дал бодливи рога на някои IT одитори ...

"На бодлива крава Бог рога не дава"
народна поговора

"Аве не я разбирам аз таз поговорка и тва си е ... нещо ми звучи алогично"
реплика от форум

Чудна работа! Доста одити сме гледали, но само на одитите по сигурността на информацията има одитори, които се държат като бодливи крави, за които Господ е забравил да се погрижи.
Ами, да! При одит на системи за сигурност на информацията бодливите крави имат рога!

Особено остри са рогата на одитори, болни от баналната одиторска зараза - рископатията.
Рископатията е производно професионално заболяване на основното заболяване - "одитизъм".
Най-лоша е комбинацията одитизъм с гарнитури на рископатия. А тази комбинация най-ярко се проявява при системите за някаква сигурност (на информацията, на труда, екологична ... )




Как се познава рископатът? Профил на типичния рископат...

1) Рископатът е убеден, че само той е разбрал какво точно иска стандартът. Всички други, които са го чели, не са постигнали неговото ниво на "разбиране" и са се заблудили с грешни представи. Той не само е чел добре стандарта, но е ходил на изпит и даже е взел изпита!

2) Рископатът е разбрал добре стандарта, защото в миналото той е имал най-най-добрия от всички професионален IT background. А "бекграундите" на други хора? Те не са важни ...
Това е причината понякога да се стигне до диаметрално разминаване в преценките на два рископата. Всеки от тях е толкова убеден и така те убеждава в нещо, че, за да се отървеш, си готов и да се съгласяваш. Първо с единия, а после и с втория.

3) Рископатът, когато е при вас и започва да ви одитира, за което вие му плащате, вижда изведнъж златна възможност с един куршум да спечели поне две ползи - да предпази и да демонстрира. Да предпази ... показва загриженост за вашата фирма и система и едва ли не спасява не само фирмата, но и светът. Да демонстрира ... Какво демонстрира? Компетентност, разбира се. Започва да ви обяснява неща, които не ви трябва да знаете или, по-лошо, неща които и без друго знаете.

4) Рископатът не осъзнава, че не всичко му е позволено. Той ще се опита да проникне във фирмата ви като заобиколи по някакъв начин бариерите на физическия достъп и ще се гордее с това, че е цъфнал някъде, където не сте го очаквали. Или ще поиска по телефона да му пратите мейл с доклада от оценка на рисковете или плана за обработка на рисковете, или декларацията за приложимост, макар и да знае много добре, че стандартът изисква тези документи да са защитени и в системите те са класифицирани с ниво на поверителност, изключващо изнасяне.

5) Рископатът получава пълна реализация и удовлетворение, когато седне да ви измисля нови рискове, които вие не сте се сетили да определите. Той ги измисля, убеждава ви, че сте ги пропуснали и ви налага да си ги включите в системата. Не се интересува вие какво мислите. Не си дава сметка, че в стандарта е казано "Организацията трябва да определи ... ", а не той.

6) Рископатът се втренчва жестоко в контролите, обявени в декларацията за изключване. Тук той получава максимално възможното удовлетворение, "одиторски оргазъм", когато ви докаже, че неоснователно сте изключили еди какво си... И ви извива ръцете да си го включите. И вие се предавате, защото отдавна се знае, че с одитор спор не се води!

7) Рископатът е мнителен и то повече от бай Вълчо Камарашев, който си купуваше салам в една стара ТВ реклама. Не му стига едно доказателство за нещо, а иска и още. Иска най-вече записи, макар да знае (дали?) че в стандарта за одити дефиницията за "доказателство" включва "излагане на факти" и "друга информация", освен записи.

8) Рископатът пише работните си записки, че даже и доклада си на чужд език и говори ползвайки изобилно чуждици ...  "Ако към месиджъ има атачнат дроуинг, вие ще си го даунлоудните, за да ви е ОК за митинга с мениджмънта". Чуждиците, почти винаги, са англосаксонски. Никога не са русизми, турцизми или нещо с френски или немски произход...

9) Рископатът ...

10) Рископатът ...

Ще оставим две позиции празни, защото животът е богат и рано или късно ще видим или ще научим нещо, което ще допълни с още две характеристики богатия профил на нашия рископат

LEAN - Continuous Improvements... Откъде почва управлението на подобренията?

Ако подобренията в една фирма са определени като процес с постоянно действие, и ако се иска този процес да бъде управляван, то би следвало на това да се гледа по-сериозно.

Да видим този процес чрез формалните понятия, с които сме свикнали...

Входове
Данни, факти и сведения за установени практики, съдържащи потенциал за подобрения.
Видяни на база на тези данни и факти проблеми, формулирани хипотези за решения и т.н.

Управлявани дейности
Генериране, сбор, анализ, оценка, планиране (приоритети, ресурси, ...), внедряване, анализ

Изпълнители
Всички във фирмата са ангажирани да дават предложения за подобрения
Само някои са ангажирани с посочените тук управлявани дейности

Изходи
Внедрени подобрения с доказани данни за ефикасност и ефективност     (показва качество)
Брой "общо" предложения или съотношение "приети към общо дадени" (показва активност)

Среда
Смятаме, че това е работната среда, отнасяаща се до разглежданите за подобрения процеси.
Понякога това виждане за средата може да се сметне за ограничено. Понякога средата може да има и други, съвсем неочаквани, измерения (на Архимед му дошла идея в банята ... )

Ресурси
Генеративност и освободено от инерция мислене - когато се очакват идеи за подобрения
(това човешко качество трябва да се създава, възпитава и тренира)
Компетентност - когато се обсъждат и оценяват дадени предложения
Пак компетентност, но и всякакви други - когато одобрени предложения следва да се внедряват
Оргуер - т.е. създадена и поддържана организация, ред и изисквания за обработка на идеи.
Обучен персонал
Изучени теории, практики, достъпен чужд и систематизиран свой опит

Ето това, подчертаното, са нещата които много често липсват като ресурс и най-често липсват, понеже не са осъзнати като необходимост и като ползи. По тази причина всеки от елементите на процеса може да е непълноценен по един или друг начин.

Например, входовете - ще чакаме някой за нещо да се подсети, да му дойде на ум, вместо управлението на процеса да се "изяаде с парцалите" и се захване още откъм входовете. Става дума за познаване на организираните и алгоритмизирани методи за техническо творчество, които започват с умението да се виждат и формулират проблеми, а сетне продължават с "рецепти" как да се реши, и то на ниво "изобретение", всяка добре формулирана техническа задача.

Откъде се почва? 
Трябва да се познават методите, формулирани и описани от Хенрих Алтшулер - АРИЗ (Алгоритъм на изобретението) и ТРИЗ (Теория за решаване на изобретателски задачи). 
Нека понятието "изобретение" не ни стряска, защото "летвата" на методите може да е и на по-малка височина - те пак работят блестящо. АРИЗ я има на българсаки в доста старо издание от шестдесетте години. Ако я търсим трябва да побързаме - библиотеките взеха да си прочистват остарелите си фондове и това "чистене" е най-жестоко, за жалост, при някои руски автори.

Популярно е и още едно име и още една книга - John R. Dixon "Design engineering: Inventiveness, analysis and decision making"от 1966 г. Има я и на руски език от издателство "Мир" - 1969 г.  

А скоро попаднах и на един материал, писан от Красен Хинков (не го познавам) и мястото му е тук - http://innovationstarterbox.bg/resources/henrih-altshuler-bashtata-na-triz-i-negovata-neveroyatna-istoriya/

С две думи - ще имаме резултатен и богат на идеи процес на подобрения, успешен за всякакви, каквито и да са те, технически, технологични и други, свързани с производството, проблеми, ако организираме за всички или поне за техническия и производствен персонал грижливо подготвено обучение по методи за техническо творчество според Алтшулер и Диксън. Нека кажем все пак, че методите на Алтшулер са по-подробно и по-достъпно дадени. И нека знаем една невероятна особеност - Алтшулер ги е създал, когато е бил в ГУЛАГ! Силен дух, силен ум!

четвъртък, 29 август 2019 г.

Information Security - "What the hell does this PRIVACY mean?"

Трябва съвсем сериозно, официално, на равнище национално представителство, да се помолят ISO, CEN и другите организации за стандартизация да не употребяват в англоезични текстове на стандарти думата прайвъси (privacy). При това даже няма нужда от някакви специални доводи, с които да се доказва, че това е необходимо. Достатъчно е да се види един не толкова академичен и сериозен, но все пак близък до езика и до хората, често ползван източник, какъвто е Wikipedia.
 Поглеждаме там (https://en.wikipedia.org/wiki/Privacy) и виждаме, че значението на тази коварна английска думичка се разглежда в 6 - 7 различни контекста... Браво! Хубаво! Богат език! Или обратното?

Преводачът на Google пък е още по-разпилян и живописен...
И ако в ежедневния и в литературния език с вълшебната думичка  privacy можеш да кажеш много различни неща, то в заглавията и в текстове на стандарти, а и в друга по-сериозна материя, privacy може да бъде разбрано различно в обхвата на смисъла на всеки един от тези 6 или 7 контекста. То почти така е и в ежедневната реч, където думи или изрази може да се употребяват двуяко - с простото "See You later" можеш да изразиш смисъл на най-любезно "Довиждане", но може да го ползваш и в смисъла на  "Я ми се махай от главата!"

Повече от ясно е, че това не бива да се допуска. ISO направи някакви усилия в такава насока с други амбивалентни, че и поливалентни, изрази и даже се похвали с това, че пуска нови издания на стандарти, в които са изчистени подобни многозначности ("ISO 31000 revision moves towards a clearer and more concise text" - виж в https://www.iso.org/news/2017/02/Ref2165.html). Ясно е, че усилията в тази насока трябва да продължават, подчинени на ново правило - да не се допускат занапред такива албионски маймунджулуци

А дотогава мъките по превода на прайвъсито ще продължават. 
Ето как (по-долу са ползвани данни на БИС) ...  


BG - Информационни технологии. Процес на оценяване на въздействието на личните данни при RFID
EN - Information technology - RFID privacy impact assessment process

BG - Приложен интерфейс за сигурни елементи за електронна идентификация, автентификация и удостоверителни услуги. Част 4: Специфични протоколи за поверителност
EN - Application Interface for Secure Elements for Electronic Identification, Authentication and Trusted Services - Part 4: Privacy specific Protocols

BG - Финансови услуги. Оценка на въздействието върху неприкосновеността на личните данни
EN - Financial services - Privacy impact assessment

BG - Информатика в здравеопазването. Изисквания относно сигурността и неприкосновеността на системите EHR за използване при оценяване на съответствието (ISO/TS 14441:2013)
EN - Health informatics - Security and privacy requirements of EHR systems for use in conformity assessment (ISO/TS 14441:2013)

BG - Информационни технологии. Характеристики за съвместимост на лични данни при съвременните RFID технологии
EN - Information technology. Privacy capability features of current RFID technologies

BG - Информационни технологии. Анализ на оценката на влиянието на личните данни при приложение на RFID в специфични сектори
EN - Information technology - RFID privacy impact assessment analysis for specific sectors

BG - Информационни технологии. Анализ на методите за оценка на влиянието на личните данни, приложими за RFID
EN - Information technology - Analysis of privacy impact assessment methodologies relevant to RFID

BG - Интелигентни транспортни системи (ИТС). Аспекти на поверителност в стандартите и системите за ИТС в Европа
EN - Intelligent transport systems - Privacy aspects in ITS standards and systems in Europe

BG - Информационни технологии. Процес на оценяване на въздействието на личните данни при RFID
EN - Information technology - RFID privacy impact assessment process

BG - Информационни технологии. Характеристики за съвместимост на лични данни при съвременните RFID технологии
EN - Information technology - Privacy capability features of current RFID technologies

Виждаме как в отчаянието си преводачите залагат повече на "лични данни" (но за тях има друг по-ясен израз - personal data), после идва "поверителност" (по-адекватното е confidentiality), а най-накрая стигат и до "неприкосновеност" (но това е inviolability). Даже и да направим фюжън (леле!) от тези три понятия, то пак получената комбинация не дава нещо равностойно на широкия и безбрежен смисъл на прайвъсито. 

Колеги стандартизатори от ISO! Може privacy да е много важна ценност на обществото и може в живота всеки да я разбира в широк и по-различен от други хора смисъл, но вие, когато съчинявате стандарти, е по-добре да не я ползвате. Намерете друга дума с ясен и еднозначен смисъл, която подлежи на също така ясен превод на всеки, различен от английския, език