W chwili, gdy Agencja MAart przygotowuje się do wdrożenia kolejnego standardu ISO – tym razem ISO 27001 „System Zarządzania Bezpieczeństwem Informacji” – chciałbym wyjaśnić, co to jest za standard i jak należy go interpretować.

Informacje mają kluczowe znaczenie dla podejmowania decyzji, a w niektórych przypadkach również dla funkcjonowania organizacji. System Zarządzania Bezpieczeństwem Informacji ISO 27001 wspomaga firmę w zarządzaniu cennymi danymi oraz zapewnia ich skuteczniejszą ochronę.

Norma ISO 27001 jest oparta na założeniach brytyjskiego standardu bezpieczeństwa BS 7799 i stanowi zestaw wytycznych dotyczących wdrażania i utrzymywania bezpieczeństwa informacji w organizacji. Poszczególne rozdziały normy poświęcone są takim zagadnieniom, jak polityka bezpieczeństwa, klasyfikacja aktywów organizacji i bezpieczeństwa osobowego oraz sposoby kontroli dostępu, rozwoju i utrzymania systemu. ISO 27001 to jedyna norma międzynarodowa, która określa wymagania dotyczące systemów zarządzania bezpieczeństwem informacji (ISMS) oraz pozwala wybrać adekwatne i proporcjonalne środki bezpieczeństwa w odniesieniu do rodzaju, specyfiki i wielkości organizacji.

Stosowanie systemu określonego we wspomnianej normie daje możliwość zmniejszenia do minimum ryzyka zafałszowania, a nawet utraty informacji, co na obecnym etapie rozwoju technologicznego jest koniecznością. Pomaga ono także w ochronie danych i zwiększa bezpieczeństwo pozyskiwanych i przetwarzanych informacji z korzyścią dla wszystkich zainteresowanych stron – organizacji, klientów i dostawców.

Norma ISO 27001 jest efektywnie wykorzystywana w przypadku firm, które zarządzają informacjami w czyimś imieniu. Służy jako narzędzie pozwalające zapewnić klientów, że przekazywane i dostarczane przez nich dane są chronione w możliwie najwyższym stopniu. Ujawnienie istotnych informacji mogłoby bowiem doprowadzić do utraty wiarygodności wśród klientów, a tym samym do obniżenia konkurencyjności organizacji.

Jak widać, wdrożenie i uzyskanie certyfikatu na zgodność z normą ISO 27001 jest w Agencji MAart jak najbardziej zasadne. Przed nami jeszcze dużo pracy, ale jest to wysiłek, który się opłaca.

Czy zastanawialiście się kiedyś nad sensem pracy w ramach systemów zarządzania jakością lub zapewnienia jakości? Po co opracowuje się te systemy? Dla pieniędzy, prestiżu? A może faktycznie wymagania zawarte w normach z rodziny ISO naprawdę usprawniają zarządzanie organizacją i pomagają w ciągłym doskonaleniu jej działań?

Spróbujmy krótko odpowiedzieć na te pytania.

Małe przedsiębiorstwa i mikroprzedsiębiorstwa stanowią 95% światowych firm i tworzą trzon rozwoju gospodarek wielu krajów, co jest szczególnie ważne w dobie światowego kryzysu (może i Polska to w końcu zrozumie i wprowadzi ułatwienia w funkcjonowaniu takich firm?…). Normy międzynarodowe powinny pomagać małym firmom tak samo – lub w jeszcze większym stopniu – jak wielkim międzynarodowym koncernom.

Norma ISO 9001 zawierająca wymagania dotyczące systemu zarządzania jakością jest najbardziej znana i najczęściej wdrażana spośród wszystkich norm ISO. Jest ona stosowana w ponad 170 krajach na całym świecie przez różne rodzaje przedsiębiorstw (mikroprzedsiębiorstwa, małe, średnie i duże przedsiębiorstwa) zarówno w sektorach prywatnych, jak i publicznych, przez producentów oraz dostawców usług. Możemy z tego wywnioskować, że wymagania tej normy, o ile są właściwie wdrożone oraz konsekwentnie utrzymywane i doskonalone, wspomagają firmy każdej wielkości w konkurowaniu na rynku w walce o klienta.

Co konkretnie daje organizacji System Zarządzania Jakością ISO 9001 i czy klienci doceniają nasze starania mające na celu dostarczenie im wyrobu lub usługi o jak najwyższej jakości? Możemy przytoczyć kilka przykładów korzyści płynących z wdrożenia normy ISO:

• Po pierwsze dzięki stałemu dostarczaniu wyrobów lub usług spełniających wymagania klientów budujemy ich zaufanie do firmy. Klienci są świadomi istnienia systemów, które mają wspomagać gwarantowanie najwyższej jakości dostarczanego wyrobu finalnego. Często powtarzam, że skończyły się czasy, w których jedynym kryterium wyboru była cena. Teraz świadomość konsumentów jest na tyle rozwinięta, że przede wszystkim wymagają oni wysokiej jakości, za którą są gotowi zapłacić.
• Wdrożenie specjalistycznych norm branżowych (np. PN-EN 15038 Usługi tłumaczeniowe) jako uzupełnienia wymagań ISO 9001 pozwala w pełni zapewnić klientów o świadczeniu usług wysokiej jakości.
• Dzięki wdrożeniu norm możliwe jest skuteczne rozpoznawanie potrzeb i stale rosnących wymagań klientów, którzy oczekują szybkiej reakcji rynku na nieustannie zmieniające się uwarunkowania, szczególnie zważywszy na tak zaawansowany obecnie rozwój techniki oraz powszechną globalizację.
• Organizacja może usprawniać swoje działania (oczywiście również poprzez późniejsze ciągłe doskonalenie) we wszystkich obszarach zarządzania, na przykład dzięki jasnemu podziałowi kompetencji i niedublowaniu realizacji poszczególnych zadań przez pracowników, możliwości przystępowania do przetargów (warunkiem jest posiadanie certyfikatu), racjonalnemu wykorzystaniu i planowaniu zakupu zasobów, wzrostowi konkurencyjności, zmniejszeniu kosztów z tytułu reklamacji wskutek aktywnego i skutecznego reagowania w sytuacjach kryzysowych, a także dzięki ułatwionemu wdrażaniu zmian w organizacji.

Można by wymienić jeszcze wiele korzyści płynących z wdrożenia ISO 9001, ale poprzestańmy na tych kilku przykładach. Ważne jest to, że właściwe opracowany, wdrożony i utrzymywany oraz doskonalony system pozwala sprawnie zarządzać firmą, co jest doceniane przez klientów. Dlaczego tak twierdzę? Otóż często jestem świadkiem rozmów ludzi, którzy robią zakupy w sklepach, i słyszę, jak przed wybraniem produktu mówią do siebie: „Zobacz, co tam mają napisane na opakowaniu. Jest tam ten HACCP albo to ISO?”.

Także wdrażajmy, kochane firmy, wdrażajmy i nie słuchajmy złośliwców, którzy twierdzą, że systemy jakości to tylko sterta papierków, które nikomu nic nie przynoszą. Moim zdaniem wygłaszanie tego rodzaju opinii świadczy tylko o nieudolności lub kompletnym braku wiedzy o potrzebach rynku.

Często zauważam rozterki osób zajmujących się zarządzaniem jakością i słyszę dyskusje dotyczące tego, czy należy stosować termin „audyt”, czy też „audit”, a co za tym idzie, „audytor” czy „auditor”. Czym się różnią te dwa terminy i który z nich jest właściwy?

Z punktu widzenia normy ISO kwestia ta nie ma większego znaczenia, często sam stosuję te dwa określenia zamiennie. Termin „audit” przyjęło się zwyczajowo stosować w odniesieniu do zagadnień jakościowych, „audyt” natomiast kojarzy się z finansami. W tym kontekście warto sobie przypomnieć, że łaciński źródłosłów terminu „audit” oznacza „słuchać”, a zatem „auditor” jest nikim innym jak tylko słuchaczem.

Moje zdanie jest następujące: „audit” jest terminem bardziej przyjaznym, ponieważ kojarzy się ze słuchaniem, co w pełni oddaje ducha tego działania. W swoim założeniu audit ma na celu wspomaganie organizacji w jej doskonaleniu, poprawie i dążeniu do doskonałości (w zarządzaniu, relacjach z klientem, minimalizowaniu liczby niezgodności czy błędów itd.); audit szuka zgodności, potwierdzenia dobrego działania organizacji (inaczej niż kontrola, w którą wpisane jest poszukiwanie błędów). Dobry auditor – czy to zewnętrzny, czy to wewnętrzny – potrafi słuchać auditowanego, wyciągać wnioski, formułować spostrzeżenia, które wspomogą poprawę realizacji zadań przez auditowanego, a tym samym przyczynią się do udoskonalenia organizacji. Stąd też coraz popularniejsze staje się następujące rozróżnienie:

Audit jakości – systematyczny, niezależny, udokumentowany proces pozyskiwania dowodu z auditu oraz jego obiektywnej oceny w celu określenia stopnia spełnienia kryteriów auditu.
Audyt – swojego rodzaju kontrola standardów obejmująca zarówno działania, jak i metodologię.

W praktyce szeroko rozumianego zarządzania jakością przyjęło się stosować termin „audit”; wielu auditorów uważa również, że termin ten jest właściwszy. „Audyt” kojarzy się z kolei z pewnym rodzajem kontroli. Termin ten stosowany jest w szczególności podczas działań w obszarze finansów (audyt finansowy) i nie odzwierciedla ducha podejścia jakościowego.

Na omawiany tutaj temat wypowiedzieli się również językoznawcy. Wszystkie słowniki języka polskiego podają jako właściwą wyłącznie formę „audyt”. Każdy polonista/językoznawca powie, że poprawną formą jest „audyt” z literą „y” w środku, która uległa zmianie z „i” wersji anglojęzycznej. Taka jest reguła językowa, a wiadomo, że z regułą trudno dyskutować.

Wypowiedź prof. Jerzego Bralczyka jednoznacznie ucina wszelkie dyskusje na ten temat. Stwierdził on, że w polskim tłumaczeniu normy ISO wystąpił błąd (norma podaje termin „audit”)… ale z kolei prof. Jan Miodek uznał, że oba określenia („audit” i „audyt”) są poprawne i oba znaczą to samo.

Jak więc widzimy, walka trwa. Myślę jednak, że nie ma większego znaczenia, czy będziemy stosowali termin „audit”, czy „audyt”. Najważniejsze jest to, aby podejmowane działania audi(y)towe przynosiły zamierzony efekt w postaci wartości dodanej dla organizacji, która je przechodzi. Za używanie jednej lub drugiej formy nikt nam głowy nie będzie urywał, życzę więc miłych i owocnych auditów/audytów zarówno po jednej, jak i drugiej stronie barykady.