четвъртък, 13 декември 2018 г.

ISO/IEC 20000-1:2018 - вече с ново трето издание ... Да ударим тъпана!


Едва ли е новина нещо, което е станало преди цели три месеца. Този септември ISO публикува трето издание на стандарта ISO/IEC 20000-1:2018. Нашият БИС не закъсня и през октомври реагира с БДС ISO/IEC 20000-1:2018, който обаче си е пак на английски език. Мъките по превеждане на стандарта и по обсъждане на вариантите за по-точен превод предстоят. Новина по-скоро е, че три месеца след публикуването на стандарта цари информационно затишие и предпазливо ослушване. Дали това има връзка с песимизма на шепата IT пионери и последователите им, които изстрадаха първото издание на стандарта, и после видяха, че и второто му издание не е „като хората“ и изобщо не е „лъжица за всяка уста“ – главно, но не само, заради огромното количество пряко и косвено изисквани документи и записи. 

Иначе и сега, както винаги, стандартът се самообявява, че е приложим във „всякакви организации, независимо от вида и размера им, както от услугите, които те предоставят“. Истината е, че по-малките, с по-скромни ресурси и с по-прости услуги IT организации биха фалирали под несъразмерната тежест на изискванията на стандарта за качество на IT услугите. Така с първото и второто си издание стандартът, изтъкан иначе с най-добри намерения, създаде неравенството, че едни организации могат да го усвояват, а други, даже и много да им се иска – реално не могат.

И така, каква е все пак новината ... ISO/IEC 20000-1 има ново трето издание. То е подредено по линията на HLS (High Level Structure) и вече може да имаме надежди за по-леко интегриране с другите стандарти. Както е обичайно, има преходен период, но не три години, а е до септември 2020. До 2020 година задачата ни ще бъде да намерим най-кратки и лесни пътища, за да префасонираме старите си тромави SMS системи към новото издание.

В скоро време Алфа Куолити ще предложи решения в такава посока.
Следете програмата за семинарите ни ... Успехи!

четвъртък, 15 февруари 2018 г.

ISO 31000:2018 - вече е публикуван. Голямата ножица при термините

Стандартът се появи през тази (2018) година с ново издание, в което основната самопохвала на авторите му е, че е значително опростен и, поради това, повече достъпен за усвояване.

Първото, което се вижда, при сравняване с предходното издание, е че опростяването най-много е "окастрило" термините. Вярно, че преди те бяха доста на брой, но в същото време познаването на повече термини в материята "рискове", еднозначно е от полза за по-доброто разбиране на духа и смисъла на стандарта, а оттам и за по-ефикасното му прилагане. Поради това нека кажем така - ще игнорираме това "опростяване" и ще намерим начин да опознаем, на първо място, термините, които са орязани и отпаднали.

При всички стандарти е важно, но тук, при ISO 31000, е особено важно да се осмислят добре термините, за да се разбере и приложи стандартът. Защо е важно осмислянето? Защото стандартът не дава точни рецепти и не дава изисквания, а предлага общи насоки и указания, годни за интерпретиране по специфичен начин за всякакъв вид организация. Няма как това интерпретиране (или иначе казано пълноценно и адекватно прилагане за даден случай) да стане без познаване на смисъла на термините. 

Ето как изглеждат термините сега, след като е минал ураганът на опростяването...     


Променени термини
Control – measure that maintains and/or modifies risk / с редактирана Note 1

Термини без или с малка промяна / Редактирани са пояснителните забележки към него
Risk / Notes 1, 2, 4
Risk source / -
Event / Notes 1, 2, 3
Consequence / Notes 2, 4
Stakeholder / Note 1

Термини без промяна
Risk management
liklihood
risk source

Отпаднали са термините
Risk management framework
Risk management policy
Risk attitude
Risk management plan
Risk owner
Risk management process
Establishing the context
External context
Internal context
Communication and consultation
Risk assessment
Risk identification
Risk profile
Risk analysis
Risk criteria
Level of risk
Risk evaluation
Risk treatment
Residual risk
Monitoring
Review

Има насочване към терминологичните бази данни на ISO и IEC
ISO Online Browsing Platform – www.iso.org/obp
IEC Electropedia – www.electropedia.org





вторник, 13 февруари 2018 г.

ISO 19011 пак е нов ... Пременил ли се е Илия или ... как сега ще си одитираме системите?

Хайде, да ни е честито! Скоро след джулая, рано-рано сабахлем, след слънцето, на хоризонта изгря и новият ISO 19011:2018. За да е тържествено, това стана с фанфарен съпровод от страна на симпатичната Clare Naden от ISO  (https://www.iso.org/news/ref2304.html). Тя пък, цитирайки избрани мисли от Denise Robitaille, американка, шефка на специалния за стандарта проектен комитет ISO/PC 302, също я включва в оркестъра. Да видим сега, какво е ново и на какво ISO 19011 набляга, според думите на самата Denise (леко перефразирани):

  • 19011 е ревизиран, за да продължава да бъде полезен, отчитайки промените в пазарната среда, развитието на технологиите и множеството (вече близо 70 на брой!) MSS (Management System Standard) новопоявили се или ревизирани стандарти;
  • сега 19011 насочва към подход, основан на рисковете, като го включва като нов принцип към предишните други принципи за одитиране;
  • има нещичко казано ("Тhere are tips ...") за одитиране на рискове и възможности, а също и за прилагане на "рисковия" подход към самия процес на одитиране;
  • има разширени указания и насоки за някои дейности, като управление на програма за одити и провеждане на одит.  

Ето тези четири неща посочва Denise. Скромно, но достатъчно? Ще видим нататък ...
Едно е сигурно, че Denise с леко сърце и спокойно си е празнувала на 4-ти юли.

Не е зле да хвърлим едно око и зад завесата, за да видим как изглежда новия стандарт преди да посегнем да си го купим. За това влизаме в "супер услугата" на ISO, наречена Online Browsing Platform - OBP (https://www.iso.org/obp/ui/#iso:std:iso:19011:ed-3:v1:en) и там, в раздела за маркирани изменения виждаме какво е пипал комитетът ISO/PC 302 (в червено - отпаднали неща, в зелено - добавени). Трудно се преразказва - трябва да се види. Впечатляващо е! 

(Нататък следва текстът, писан преди месеци. Почти всичко сигурно е валидно и сега )

Април или май 2018 ISO/PC 302 ще ни зарадва с нов ISO 19011. Макар сега да е на етап FDIS, разпространяваната информация за стандарта е твърде пестелива, да не се каже - супер оскъдна, с изключение на автори и източници, разположени близо до кухнята на ISO и неговите национални членове. (Дали в ISO  не са се успокоили, че вече са с гарантиран пазар?)

Затова, след доста ровене, успяваме да намерим "сламки", по които да се ориентираме.
Очаквано, както и при новия ISO 31000, така сега и за ISO 19011, няма да открием нещо капитално ново. Това е защото нито процеса на управление на рисковете, нито процеса за одитиране могат изведнъж да се окажат някакви други. Те са си "свещенни процеси", подобно на "свещенни крави", които и за следващите няколко ревизии надали ще бъдат пипнати из основи, а могат само да бъдат леко допълвани и козметично подобрявани. Това, вече знаем от опит, няма да попречи на някои консултанти и на някои одитори от трета страна да стряскат хората с възторжени възгласи колко нов и колко различен и разумен е новият стандарт.

Ако, ние - българите, сме реалисти, то следва да погледнем първо в каква степен успяхме да усвоим "стария" 19011, т.е. възползвахме ли се по най-разумен начин от препоръките му?

Има неща, които при това могат да ни смущават и то не заради не толкова добре усвоения стар 19011, а защото и новия го чака май пак същата съдба. Това, свободата, е голяма работа! Свободата, като четеш стандарт с незадължаващи указания, сам да си прецениш кое да приложиш и в каква степен. При това за нещата, които си загърбил, никой не може да ти дири сметка... (Но, ако питате, ще кажа, че позволява да се прецени доколко си зрял и способен)

И какъв е резултатът от това? Без да сме докрай изчерпателни да кажем само основни неща:

  • много рядко се планира и изпълнява Програма за одити. Всъщност, прави се, но в силно окастрения вид на "Годишен график" или "план" за одитите през годината. Да, разбира се, върши работа, но само до там, за да се каже кога какво ще се одитира и толкова ...
    Цели на Програмата? Лице, което управлява Програмата? Наблюдения и прегледи ... всичко това го няма, защото се знае - 99% от одиторите са доволни и "график" да видят.
    Нямаш ли Програма, насочена към цели, е все едно да имаш обезглавено одитиране;
  • при положение, че имаме горното (т.е. Програмата е окълцана до График) виждаме, че пак в 90% от случаите графикът съдържа само един одит годишно. Като правило той се намества да предхожда одита от трета страна и служи главно за положителен отговор на  "Правили ли сте вътрешни одити?", който отговор успокоява одитора от трета страна и той приема, че одитите(!?) се правят на "планирани интервали", както е изискването;
  • пак при положение, че имаме горното (т.е. Програма/График с един одит годишно) ще видим, че са много случаите, в които стават чудеса. Не само че одитът е един в годината, но той даже протича за един ден! Дори и системата да е тройно и четворно интегрирана, пак за един ден тази работа се "опатква". Тези, които са участвали или са много добре запознати с работата, знаят че този един ден не е и един, а си е точно половин ден;
  • в малките фирми, а те 90% у нас са такива, се стига до положението "брат брата одитира" без да се мигне с око даже, защото в 19011 сега пише, че "трябва да се направят всякакви усилия" в посока на принципа за независимост. Да видим дали ще пише същото и в новия 19011.
За да не става много "черно" спираме до тук. И има подозрения, че не само у нас това е така. Така е и на "Запад", както се казва, а може би и на "Изток", само че не знаем в каква степен.

Усещат ли тези неща в уважавания ISO/PC 302 и какво ли си говорят, срещайки се на работни сесии в различни (често противоположни) точки на земното кълбо (при наличие на съвсем прилично седалище на пъпа на Швейцария). Дали един ден ще се осмелят да решат, че тази свобода на указанията може мъничко да се намали с определяне на някои указания като задължителни за прилагане. Нека остане само свободата да си избереш в каква степен да го приложиш указанието, но тъй или иначе следва да го имаш, ако е дадено като задължително.

Сега да видим какво може да се прочете за новия 19011 в достъпните източници ...

Категоричен акцент е подходът, основан на рискове.
Личи от това, че е обявен като нов, седми, принцип в раздел 4.
Реализацията на този принцип, за разлика от всички други, е най-конкретна. Тя те кара да дадеш приоритет на рисковите области в бизнеса и, ако правиш Програма, да насочиш одитите към тях. Кара те още при планиране на конкретен одит да включиш одиторски проверки там, където се очаква да се види и разбере, че управлението на процеси е интегрирано с управление на рисковете за тези процеси. 

Има някакви промени в термините. Например, "audit evidence" сега става "objective evidence", т.е. "доказателство от одит" става "обективно доказателство". Плюс което се казва, че ще има заострено внимание върху обективността при формулиране на констатации. И още, че ще се върви в посока на "проверки на информацията". Каквото и да значи това, стига само да не означава, че всяко намерено доказателство следва не само да е проверимо, но и проверявано. Прилича, че ще има отворена вратичка в тази посока, защото под "обективно доказателство" ще се разбира "Информация, която в някаква степен може да е подложена на проверка". Със сигурност тук опасността е доказателствата, получени чрез "излагане на факти" (т.е. при разговор) да се проверяват и по друг начин. Само ще внимаваме одитираният да не ни се обиди, нали? Той ни е казал нещо в отговор на въпрос, а ние после търчим да проверим дали наистина е така. Е, как да не е обидно?! То тогава по-добре да не ползваме този метод...

Ще е интересно дали терминът за "Програма за одити" ще е пак "Съвкупност от един или повече одити ... " и т.н. Ето защо нашите програми са всъщност съвкупност от само ЕДИН одит. При това с претенцията, че "проверява цялата система за една година" - познато, популярно, но откъде идва - не се знае.

Ползване на ICT методи и технологии... Това е много добре! Не ходиш непременно да видиш очите на одитирания, а приемаш той да ти изпрати информацията по мейла, факса, skype-а - както е най-подходящо. Да не забравим и най-елементарното - одиторът може да си направи разговор с одитирания по телефона. Да не забравим и по-сложното - одиторът може да получи права на достъп само за времето и само за целите на одита и да влезе със своя лаптоп в ресурса на одитираните. Тук възможностите са много и са все хубави, защото пестят време и така помагат одита да "носи стойност" просто като не губи излишно време за одитиране. На хората времето им трябва да работят, а не да се одитират... Какво може да ни притесни тук? То е това, че и в стария 19011 ставаше дума за дистанционното одитиране, но не се знае колко и как е прилагано. Съмненията са, че не е прилагано широко. А занапред - ще се надяваме повече!

Вероятно Приложение А ще ни изненада с няколко неща:
  • въздействие на одита върху жизнен цикъл на продукт/услуга;
  • указания за одит на верига за доставки;
  • одит на "най-тънката струна" в системите - на т. нар. "лидерстъво и съпричастност" (leadership and committment).

Както стана дума по-горе, оскъдна е информацията и затова е рисковано да се гадае, а и да се разчита на откъслечна информация от втора и трета ръка. (защото ще се получи, като в онази индийската приказка за слепите хора, които опипвали слона, за да го опишат как изглежда). Нека изчакаме да се вдигна завесата и FDIS-a да се превърне в ISO.

Но все пак има усещане, че акцентите на 19011 са явно в етапите на планиране (за Програма) и подготовка (на конкретен одит). Има логика, но има и нещо друго, за което се сещаме ...

Навремето Игор Стравински е казал за музикантите, които свирят на арфа - "Те 90% от времето пилеят за настройка, а в останалите 10% свирят фалшиво". С други думи прекомерното пилеене на енергия за подготовки и планиране може да изяде от качеството на изпълнението. Спорно ли е? Разминава се с постановката за петте "П"-та? Но пък иначе много добре се обяснява с управлението на рисковете. Една арфа има 47 струни и това де факто са 47 източници на риск от разстройване (така ли се казва?) на верния тон. Един тон да не си е на мястото и вече свириш фалшиво. Цялостния процес на одитиране е нещо като арфата. Има много неща за настройване, но все пак нека основното внимание бъде върху изпълнението.

Независимо какво пише в стандартите, на въпроса "Какво трябва да гони одитора?" верен отговор е, че трябва да се гони получаването на стойност от одита в полза на бизнеса. Успех!









сряда, 7 февруари 2018 г.

ISO 31000 и Модул М19 в програмата на Алфа Куолити за 2018 г.

Актуална информация
(Мина успешно!) 29.01.2018 г., гр. София - публичен семинар (първи за годината!)
"ISO 31000 - Управление на рисковете".
Водещ - инж. Бончо Антонов


Следващите дати ще са за ISO 31000:2018, както следва
23.03.2018 - София
   20.04.2018 - Пловдив
28.05.2018 - София

  13.06.2018 - Пловдив

Есенната програма ще бъде обявена по-нататък ...

За информация и записване
Ваня Филиповска, Преслава Кюрчева - на тел. 02 8687531 или 
чрез сайта на Алфа Куолити България - www.alphaquality.org




Да си мушнеш главата в пясъка не е решение!

Да сме с лице и мерки за защита срещу заплахите и генерираните от тях рискове!



Модул М19 в учебната програма на Алфа Куолити България цели да коментира и разказва на достъпен език за процеса на управление на рисковете, базиран на ISO 31000:2018:
  • приложно поле на стандарта и общи понятия, свързани с рисковете и управлението им;
  • термини и дефиниции – с пояснения, илюстрации и примери;
  • принципи за управление на рискове – смисъл, заложен в принципите и резлизацията му;
  • организационна основа за процеса на управление – лидерство, политики, роли, ресурси, комуникации и консултации, документи, прегледи и подобрения;
  • процес на управление – стъпки, критерии, оценки, планове, въздействия, мониторинг ...
Публичните семинари на Алфа Куолити България, освен прякото им предназначение, са още и място за срещи и споделяне на опит сред участниците. Това винаги е полезно, но в контекста на управление на рисковете е консултиране и комуникации – важни осигуровки за ефикасност

ISO 31000:2018 - Управление на рискове. Указания

Стандартът ISO 31000 съдържа универсални указания за управление на рискове чрез процес, който е интегриран със стратегическото и оперативно управление. С това той ще интересува хора, които създават и опазват стойност в организацията, като управляват рисковете, вземат решения, задават и преследват цели и имат стремежи да подобряват резултати.

Предишното издание – ISO 31000:2009 – издържа близо пет години на коментари и препоръки от експерти и потребители на стандарта, докато накрая ISO/TC 262 го подложи на ревизия, която вече е приключена, а новото издание – публикувано като ISO 31000:2018. Само с две думи може да се каже основното – „Няма промени“, за които да се каже, че са ключови. И това е обяснимо, тъй като логиката на процес на управление на рискове няма как да e съвсем друга.
Няма как и водещите принципи да бъдат по-различни от преди.

И все пак ...
Основната идея, на която е подчинено новото издание, е управлението на рисковете да стане ясно, лесно и сигурно. Основният похват – представяне на указанията на достъпен и разбираем език в обхвата на един по-кратък, по-лесен за четене, но в същото време и достатъчен като съдържание текст.

Следвайки тази идея стандартът се ограничава само до най-необходимите за целта термини и избягва дублиране с онези термини, които са поставени в терминологични стандарти.

Онази част на стандарта, която говори за изграждане и поддържане на организационна основа за процеса на управление на рисковете, е допълнена с примери, които помагат да се разбере по-ясно идеята за необходимото организационно осигуряване в полза на процеса.

В новото издание на ISO 31000 личат някои акценти – върху силата и значението на човешки и културни фактори в работата по преследване на поставени цели и друг акцент – за ползване на управление на рисковете, когато се работи за вземане на решения. И още – че ефикасността на управление на рисковете е толкова по-силна, колкото и когато то се интегрира и засегне възможно най-голям обем функции и дейности.

Ще наложи ли някакви промени новият стандарт? Краткият и категоричен отговор е „Не!“, тъй като стандартът предлага незадължаващи указания, а не изисквания. Иначе казано, хората, които вече са използвали предишното издание в системите си управление на рисковете, може би няма да променят нищо в подходите и практиките си, но сигурно поне ще ги преразгледат критично. Такива прегледи винаги са полезни. По-голяма ще е ползата за тези, които тепърва ще създават системи и инструменти за управление на рискове

вторник, 6 февруари 2018 г.

ISO 31000:2018 - Ново издание - нов късмет! С претенции за по-ясен смисъл и по-кратък текст (само 16 листа?)

ISO 31000 вече е освежен, по-ясен и по-кратък, според разпространяваните прес-съобщения.

Без още да сме го виждали, нека се опитаме да познаем как изглежда сега новия...

Ако е имало нещо не съвсем ясно изразено, то това са няколко (от общо 29 - доста са!) термина с твърде озадачаващи дефиниции. Един такъв, може би най-зашеметяващ, беше ...

"организационна рамка на управлението на риска - съвкупност от елементи, създаващи основите и ръководните организационни разпоредби за разработването, внедряването, наблюдението, прегледа и непрекъснатото подобряване на управлението на риска 
в цялата организация". И до ден днешен не мога да осмисля както трябва това!

Да не говорим, че ако някой е бил притеснен от понятието "рамка", и, ако е бил упорит и късметлия, ще се е бил добрал до единствено адекватния смисъл, скрит зад рамката, а той би следвало да е "основа", "база", дори "фундамент" би могло, но не и рамка "от ... до ...", която служи да ограничава нещо ...

А който се е интересувал да разбере що за "съвкупност от елементи" и за какви елементи става дума, четейки т. 4 на стандарта, бързо е разбирал, че това е не само досадна, но и уморително разтеглена надълго и нашироко част на стандарта. Просто хората от технически комитет ISO/TC 262 "Risk management" не са се съобразили, че в 90% от случаите  от ISO 31000 се интересуват организации, които вече имат други някакви стандартизирани системи за управление, т.е. минали са вече по пътя и знаят как се изгражда система. На такива хора е излишно да се говори отново за PDCA, водачество, политика, роли, ресурси, прегледи и прочее вече почти банализирани ISO хватки. 

Не по-малко живописен беше термина ...
"преглед - дейност, предприета с цел да се определи пригодността, адекватността и ефикасността на изследвания обект, за да се постигнат установените цели". Тук зад скромната думичка "обект" се крие онова, което стандартът обявява като "Обект и област на приложение" - а то е "цялото общество", "всяко държавно или частно предприятие", "всяка общност, асоциация, група", "отделни лица". А сега да си представим как се прави преглед, ако обект е "цялото общество". Или пък ако "обект" е "отделно лице".

За нас, българските потребители на стандарта, ще е важно да видим как нашия комитет в БИС ще се справи с превода от английски, където преди английските probability и liklihood бяха подкастрени с универсалното българско "възможност" и това си беше изненада, защото сме очаквали думата да е "вероятност". А защо англосаксите (както взеха напоследък да ги наричат) ползват лукса да имат две различни думи за едно нещо, в контекста на материята на стандарта, това едва ли някой ще разясни, а и си е отделен въпрос. Слава Богу, в новото издание тази амбивалентност май ще изчезне и ще остане само liklihood. Притеснението за превода идва от това, че подмяната на "вероятност" с "възможност" абсолютно сигурно обърква хората, които ползват другите стандарти за управление и в тях четат (в ISO 9001 примерно), че се говори за "рискове и възможности" - т.е. рискове, носещи потенциални вреди и възможности, носещи потенциални ползи. 

Ето с такава цел сме приемали, че функцията РИСК има като минимум два аргумента и те са ВЕРОЯТНОСТ и ПОСЛЕДИЦИ. Думата "вероятност" трябва да се счита запазена за употреба само във връзка с понятието РИСК и за нищо друго, освен РИСК. 

Би могло да се каже, че пътят към формално, половинчато и калпаво прилагане на стандартите е постлан с небрежно и неточно дадени термини. Да стискаме палци за БДС ISO 31000:2018 ... 


  





четвъртък, 18 януари 2018 г.

ISO/IEC 27001/A.6.2.2 - Да работиш от разстояние - предимства и ... още нещо

Предимствата да се работи от разстояние може да са много и очаквано хубави. 
Например, ако пропадне Интернет връзката, може да си легнеш и да подремнеш.
Най-разпространено предимство е, че не ти се налага постоянно да се скатаваш от шефа.

Ако гледаме сериозно, трябва да се каже, че да се работи от разстояние понякога се налага.
Стандартът ISO/IEC 27001 обаче не се интересува от предимствата, а задава изискване този начин на работа да е сигурен, т.е. свързаните с него рискове да бъдат видяни и управлявани. 

Целта е да има защита на информацията, която се достъпва, обработва или съхранява на отдалечените места при режими на работа от разстояние. Тези режими следва да са свързани
с изрично зададени условия и ограничения. Механизмът за контрол ISO/IEC 27001/А.6.2.2 изисква да бъде разработена политика и поддържащи я мерки. Отново може и тук да се каже, че политиката и мерките, за които става дума, може да са поставени в един общ документ, който съдържа разработени от нас, за всеки конкретен случай, изисквания.

Какво може да бъде предвидено в такава политика и свързаните с нея мерки?

1. Може да не се допуска отдалечен режим на работа – изобщо или в определени случаи
2. Отдалечените места трябва да са физически добре защитени срещу проникване
3. Средата, в която се намират местата, следва да е сигурна (не се счита за криминогенна)
4. Комуникационният канал за отдалечен режим на работа да е защитен
5. Да не се ползва софуер и методи за отдалечен достъп от типа Teamwork или подобни
6. Да има защита срещу неоторизиран достъп от други лица, обитаващи мястото на работа
7. При работа да няма взаимодействие с други мрежи (вкл. безжични) намиращи се на мястото
8. При работа да не се засягат лични данни и друга чувствителна информация
9. Да не се нарушават лицензи и права, придобити от други страни
10. Може да има изисквания какви оборудване и протоколи да се ползват за работа
11. Може да са определени дни и часове, в които такава работа се допуска/не се допуска
12. Може да се посочва каква информация не може да бъде предмет на работа от разстояние
13. Може да има особености, свързани със сервизната поддръжка на ползваното оборудване
14. Може да се иска прилагане на процедури с изисквания за за backup и непрекъснатост
15. Може да се иска да бъде осигуряван достъп и условия за одити на мястото
16. Да има правила за връщане на активи и за спиране на работата от разстояние от мястото

В този дух може да се зададат и други изисквания - всяко друго смислено нещо в допъление, или вместо, горните 16 точки, ще е полезно. Стига да е постижимо, да произлиза от реално установени рискове, а не произволно измислено