Hogy legyen az ISO a „hárombetűs rém” helyett a munkánk hasznos része?
ISO... A legtöbb embernek erről a három betűről egy hivatalos plecsni jut eszébe, ellenőrzések sorozata, illetve vaskos dokumentumok, melyeket csak évente egyszer vesznek le a polcról, amikor elérkezik az audit napja. A Crosssec Solutions Kft.-nél azonban nem ez történik. Minőségirányítási vezetőként, szeretném bemutatni a három betű hasznosságát és elmesélni, hogy én hogyan kerültem kapcsolatba vele, miért szerettem meg.
Mi is az az ISO és miért van rá szükség?
A Nemzetközi Szabványügyi Szervezet számos területen alkalmazható nemzetközi szabványt adott ki, és ezeket folyamatosan karban tartja, frissíti. Felmerülhet a kérdés, hogy mi az a szabvány? Tulajdonképpen egyfajta követelményrendszer. Egy elismert szervezet által alkotott vagy jóváhagyott, közmegegyezéssel elfogadott műszaki / technikai dokumentum, amely egy adott tevékenységre vagy annak eredményére vonatkozik. Általánosan alkalmazható szabályokat, szempontokat vagy jellemzőket, mintákat tartalmaz.
Alapvetően nincs rá szükség, nem feltétele egy vállalkozás működésének. Mégis sok cég elvárja vagy akár meg is követelheti a beszállítóitól, partnereitől, hogy rendelkezzenek ISO tanúsítvánnyal. Ennek az az oka, hogy a minősített vállalatokról azt feltételezik, hogy a működésük szabályozott, folyamatos magas minőségű termékeket vagy szolgáltatásokat kínálnak, hatékonyan és szervezetten működnek, illetve törekszenek a folyamatos fejlődésre.
Sajnos azonban ezek a jellemzők nem jönnek a szabvánnyal együtt. Mindez sok esetben csak akkor igaz egy ISO tanúsítvánnyal rendelkező szervezetre, ha nem a felesleges dokumentum hegyeket látja benne és nem csak azért csinálja, hogy a megrendelő ne bontson szerződést.
Az ISO szabványoknak való megfelelés csak attól a pillanattól kezdve kötelező, hogy a bevezetés mellett döntünk. Viszont nem olyan egyszerű megfelelni az elvárásainak hiszen az ISO szabványok nem határoznak meg konkrét lépéseket, hanem általános elvárásokat tartalmaznak. Sokkal inkább egyfajta szemléletmódot takarnak. Ha egy vagy több szabványnak meg szeretnénk felelni, akkor biztosan szükségünk lesz egyfajta folyamatszemléletre, ismernünk kell a céljainkat, folyamatainkat, kockázatainkat, lehetőségeinket, illetve erős és gyenge pontjainkat. Fontos, hogy tudjuk, egy-egy folyamat vagy rendszer soha nem kész.
Ha megtervezünk valamit és létrehozzuk, működtetjük, akkor a működtetés során lesznek tapasztalataink. Pozitív és negatív meglátások, eredmények, melyekkel kezdeni kell valamit. Különösen igaz ez a feltárt hiányosságokra, hibás elemekre. Ezeket meg kell vizsgálni, és a tapasztalatok alapján módosítani, majd újra működtetni, folyamatosan ellenőrizni és folyamatosan javítani, optimalizálni.
Én és az ISO
Korábban is érdekelt, hogy mi ez, mit lehet vele kezdeni, de amíg csak utánaolvastam és nem láttam gyakorlatban, nem igazán tudtam kerek egészként kezelni. Egy nap azonban lehetőséget kaptam, hogy megnézzek egy működő irányítási rendszert, ráadásul egyből egy integrált rendszert, mely minőség- és információbiztonsági szabvány szerint került kialakításra. Sőt, nekem kellett átvenni a koordinálását, lebonyolítani az auditra való felkészülést. Mindezt úgy, hogy magát a szervezetet csak felületesen ismertem.
Az első hetekben csak olvastam az elkészített dokumentumokat. Kézikönyv, szabályzatok, dokumentált működési rendek, feljegyzések, egyéb leírások, mindennek melléklete volt... Valósággal elleptek a dokumentumok.
Igyekeztem megérteni és átlátni a rendszer lényegét. Ehhez kaptam segítséget is egy külső szakértő személyében, aki korábban auditorként dolgozott. Számtalan hasznos dolgot tanultam meg tőle az irányítási rendszerekről, az auditálásról, és leginkább arról a szemléletmódról, ami elengedhetetlen ahhoz, hogy jó irányítási rendszert hozzunk létre és működtessünk.
Megtanultam, hogy nem az a fontos, hogy szabályzatokat gyártsunk, hanem hogy használható módon dokumentáljuk a folyamatokat. Ennek módja pedig nem feltétlenül egy 30 oldalas szabályzat, hanem lehet egy jó folyamatábra, vagy akár fényképek, szemléltető rajzok is. Eleinte nehéz volt elhinni, de rá kellett jönnöm, hogy néha egy dokumentáció akkor lesz jobb, ha kitörlünk belőle egy-egy mondatot vagy akár teljes bekezdéseket.
Lezajlott az első audit, amelyen én képviseltem a vállalatot. Sikeres volt, elégedettek voltak a szakemberek, és hasznos fejlesztési javaslatokat adtak. Örültem, azonban nem éreztem teljesnek a rendszert. Nagyon sokat gondolkodtam azon, hogy mi hiányzik belőle, mi az, amitől kereknek érezném. A Crosssec esetében 2 évbe telt, mire azt mondtam, hogy „ez az a rendszer, amit szeretnék”. Ennyi idő alatt tudtam megmondani, hogy mi lenne jó. Ezalatt persze megismertem a céget és a különböző folyamatokat. Időközben részt vehettem egy több napos belső auditori képzésen, ahol további hasznos gyakorlati tanácsokat kaptam.
Egy irányítási rendszer kialakításához szükség van egyfajta szemléletmód váltásra, vezetői elkötelezettségre,
és az adott irányítási rendszerhez köthető tudatosság folyamatos növelésére, például oktatások, belső ellenőrzések segítségével. Sokkal nagyobb hangsúlyt kell fektetni a tervezésre, az eshetőségek számbavételére, a lehetséges kockázatok felmérésére, értékelésére és kezelésére, az ügyfélközpontúságra és a folyamatos fejlődésre. A Crosssec vezetősége maximálisan e szemléletmód alapján működik, így ebben nekem nem kellett erőfeszítéseket tennem. Minden támogatást megkaptam ahhoz, hogy olyan rendszert formáljak, amely valóban hasznos a kollégák és a vállalat számára, illetve segít abban, hogy az ügyfeleink mindig minőségi szolgáltatást kapjanak.
Azonban egy irányítási rendszer soha nem kész, soha nem tökéletes. Mindig lehet és kell is fejleszteni a működési tapasztalatok alapján. Időnként bővíteni kell, vagy módosítani, vagy törölni részeket. A fejlesztések zöme nem egyik napról a másikra vihető végbe. A Crosssec-nél jelenleg is vannak hosszabb projektek,
melyek több részleget is érintenek, sok munkával járnak, de az eredmény hasznos lesz és a működést fogja támogatni.
Hogyan alkalmazzuk hasznosan?
Mitől lesz jó egy irányítási rendszer? Mitől lesz a vállalkozás számára hasznos? Attól, hogy tudjuk, mi a célunk vele, mit várunk tőle és abban segítséget nyújt. Átláthatóvá teszi a szervezet működését. Nem elsősorban a vállalat számára hasznos, hanem a munkavállalók számára, akik a szabályzásokban leírtak alapján végzik a tevékenységüket. Ha számukra hasznos, akkor lesz a vállalat számára is az. Azáltal, hogy a munkatársak szervezetten működnek és mindig magas minőségben és az elvárásoknak megfelelő módon látják el a feladataikat. Miben adhat segítséget? Például az új munkavállalók betanításában, egy-egy elakadás esetén vagy ha helyettesíteni kell valakit, de akár új folyamatok kialakítása során is.
Nagyon fontos, hogy mit minek kell megfeleltetni. A dokumentumainkat, szabályzatainkat a szabvány elvárásainak. Majd a mindennapi gyakorlatot a leírtaknak. Viszont nekünk kell választ adni arra, hogy a
bizonyos elvárásoknak való megfelelést milyen módon biztosítjuk. Pl.: senki nem írja le, hogy milyen módon mérjük fel, értékeljük és kezeljük a működési kockázatokat. Persze vannak erre különböző módszertanok, de nem a szabványban. Ezt mi magunk dönthetjük el. A szabvány azt sem mondja meg, hogy milyen módon biztosítsuk a folyamatos fejlesztést. Magunk alakíthatjuk ki a módját, pl. oktatásokkal, workshopokkal, visszajelzési rendszer alkalmazásával, vagy a szervezeten belüli kommunikáció fejlesztésével.
Vonjuk be a kollégákat! Legjobb, ha az a munkatárs írja le az adott folyamatot, aki a legjobban tudja. Például,
ha én írtam volna meg a szoftverfejlesztési és üzemeltetési dokumentumokat, akkor bizonyára nem lenne túl hasznos anyag. Az egyes területek vezetői tudják legjobban a folyamat menetét. Ennél is jobb, ha ők pedig bevonják az operatív munkatársakat. Itt fontos megjegyezni, hogy ne azt írjuk le, ahogy nem működik, hanem ahogy valóban zajlik. Élhető legyen és valóságos! Nem kell mindent leírni... A szükséges éppen elégséges. Az arányosság elve mellett tényleg annyira fejtsünk ki egy-egy eljárásrendet, amennyire szükség van az adott környezetben. Fontos, hogy mindenki tudja a vállalatnál, hogy van irányítási rendszer, mi az, miért van és hogyan segítheti az ő munkáját. Egészen őszintén, az a tapasztalatom, hogy az irányítási rendszernek nem a Rendszer Kézikönyv a legfontosabb dokumentuma, hanem a különböző - jelentéktelennek tűnő - mellékletek, folyamatábrák, ellenőrző listák. Ezek segítik leginkább a rendszer működését, használatát.
Soha ne másoljuk le másét! Ha például egy kis 20 fős cégünk van, ne akarjuk ráerőltetni egy multi rendszerét
a vállalatra, mert ellehetetleníti a működést. De ugyanez igaz fordítva is. Ha egy óriás szervezet vagyunk, akkor nem elég ugyanaz, ami egy kkv esetében tökéletes. Csak egy példa: a beléptetés, mint az információbiztonsági rendszer része. Egy 10 fős szervezetben nem kell fotocellás, fémérzékelős ajtó beléptetőkártyával, hogy biztosítva legyen az illetéktelen személyek távoltartása. Elegendő lehet egy csengő és egy jól bevált
ajtónyitási protokoll, amit minden munkatárs ismer és betart. Viszont egy 300 fős IT cégnél nem megengedhető, hogy bárki szabadon ki-be járjon, ott vélhetően technikai támogatásra is szükség van.
Legyen élő és legyen gyakorlatorientált! A feljegyzéseket ne az audit előtt egy héttel pótoljuk, hanem folyamatosan keletkezzenek. Éppen ezért olyan feljegyzéseket vezessünk be, amelyek hasznosak, és ha közben derül ki, hogy nem az, nem kell tovább használni. Ugyanakkor bármikor be lehet vezetni olyat, amire szükség van. A feljegyzések nem csak azért kellenek, hogy az auditon be tudjuk mutatni, hogy „mennyire rendesen vezetjük az ISO-t”, hanem azért is, hogy fontos dolgokat nyilvántartsunk, dokumentáljunk, és használjuk ezeket. Például, ha a tapasztalatok által el tudunk kerülni valamit, akkor tegyük meg. A folyamatos fejlesztés alapjai lehetnek akár a feljegyzések is, de emellett tegyük lehetővé, hogy bármely munkatárs visszajelzést adjon egy-egy folyamat vagy a teljes rendszer működésével kapcsolatban. Mérlegeljük ezeket és amennyiben jó és kivitelezhető a változtatási javaslat, és valóban a fejlesztést szolgálja, akkor vigyük véghez.
És végül, nagyon fontos, hogy legyen gazdája! A Crosssec esetében ez lennék én. És szeretek az lenni. Például ma már a kockázatértékelés, amit korábban a legfőbb ellenségemnek tartottam, jó barátom lett és folyamatosan dolgozok azért, hogy beépüljön a mindennapjainkba a kockázatos helyzetek és folyamatok elkerülése, megfelelő kezelése.
Összességében az a nagyon fontos, hogy ne az auditoroknak készítsük az irányítási rendszert, hanem magunknak!
Őszintén? - akkor is hasznos, ha nem akar a vállalat tanúsítást, egyszerűen csak jól, átláthatóan akar működni. A különböző szabványokban meghatározott elvek, irányok bármely szervezet számára hasznosak lehetnek. Manapság az információbiztonság alapvető elvárás, nem kell hozzá ISO 27001. Tehát lehet irányítási rendszerünk akkor is, ha nem rendelkezünk ISO tanúsítvánnyal. Mert igazából az a lényege, hogy hasznos legyen és nem az, hogy legyen.