Címlapon

Vér Zsuzsanna, ADAPTO
Vér Zsuzsanna, ADAPTO
Forrás: ADAPTO
A megfelelés több mint szabályzat

Egységes alapokon az ISO is könnyebb

Ellentétben azzal, ahogy a vállalkozások többsége gondolja és csinálja, az ISO-szabványoknak való megfelelés nem több száz oldalnyi szabályzatok évenkénti megírásából, majd polcra helyezéséből áll. Integráltan kezelve értelmet nyernek a feladatok, elkerülhető a többszörös munkavégzés, időt és pénzt takarít meg a vállalat.

6000 magyar (és több százezer nemzetközi) cég nem tévedhet egyszerre – ennyien rendelkeznek ugyanis a legelterjedtebb ISO-ajánlás, a minőségirányítási rendszer szabványosított követelményeit tartalmazó ISO 9001 tanúsításával. A szabvány jelentősége a folyamat- és kockázat alapú megközelítés, mely megközelítéshez a többi szabvány is társul. (Lásd az ADAPTO által támogatott ISO szabványokat mutató ábrát!)

 

Dokumentum helyett folyamat

Ezek az ajánlások, ha jól valósítják meg őket, számos előnnyel járnak a vállalat számára – mondja Vér Zsuzsanna, az ADAPTO konzulense. Ilyen előny lehet, hogy átláthatóbb és szabályozottabb lesz a vállalati működés, a vezetés pontosabb információkhoz jut, csökkennek az üzemeltetési költségek, bizonyítani tudják a számos nagyvállalat által megkövetelt tanúsítványok meglétét, és nem elhanyagolható a tanúsítások marketingértéke sem.

Ezeket az előnyöket azonban csak akkor tapasztalja meg a szervezet, ha a megfelelés alatt nem legyártandó szabályzat-halmokat ért, hanem a vállalat hatékony napi működésének biztosítékaként kezeli őket. „Ahelyett, hogy rengeteg energiát fektetünk egy többnyire végeláthatatlan dokumentumhalmaz megírásába, amelyet senki a kezébe nem vesz, és egy-két évente újra- és újraírnak, sokkal fontosabb például, hogy megfelelően dokumentáljuk a folyamatainkat, amire sokkal alkalmasabb egy jól kialakított folyamat-ábra, mint egy 70 oldalas írásmű”, hívja fel a figyelmet egy lényeges szempontra Vér Zsuzsanna.

Fontos még az ISO-megfeleléseknél, hogy a szervezet rendszerben gondolkodjon: legyen tisztában a stratégiai célokkal, az azok eléréséhez szükséges folyamatokkal, a kockázatokkal, azok csökkentésének módozataival. Ha ezek rendben vannak, a szervezet már meg is tette az ISO-bevezetés (vagy a különféle jogszabályoknak való megfelelés) felé vezető út felét. Ennek a folyamat- és kockázatközpontú szemléletnek a kialakítását és naprakészen tartását könnyíti meg egy vállalatigazgatási rendszer.


Egyszerre akár többet is

Komoly hozadéka az így végzett munkának, hogy egyetlen ISO-rendszer sem fog szigetként működni a vállalaton belül. Ha a szervezet csak az ISO 27001-re koncentrál (csak az információbiztonsági kockázatokat veszi számba és értékeli), nem fog tudni az egyéb működési kockázatokról, így arról sem, hogyan viszonyulnak ezek a kockázatok egymáshoz. Ám ha előtte elvégzik a folyamatok, kockázatok teljes felmérését egy közös keretrendszerben, nem követik el ezt a hibát. Az eredmények nemcsak tovább elemezhetők, de összehasonlíthatók is lesznek – mondja Vér Zsuzsanna.

A másik nagy előny, hogy az integrált igazgatási rendszerben felmért folyamatok, kockázatok és egyéb elemek olyan közös információhalmazt jelentenek, amelyre építve több különféle szabályozásnak is könnyen megfelelnek a vállalatok. Kézenfekvő példa az információbiztonsági kockázatkezelési projekt összekötése a GDPR vagy éppen az üzletmenet-folytonossági projektekkel. Nem kell bizonyos feladatokat többször elvégezni – ami idő- és pénzpocsékolás –, és az azonos alapfeltevésekből kiinduló felmérések és eredményeik megismételhetők, hitelesek lesznek. A feldolgozott és tovább elemzett információk egységes vállalati tudássá állnak össze és az elkerülhetetlen változások is könnyen átvezethetővé válnak az egyes ajánlásokon.