GoldenLine
Zaloguj się
Olga Reyzz - Rubini

Olga Reyzz - Rubini Head of Internal
Audit, CIA

Temat: audyt wenętrzny a audit ISO

Marcinie. W poście założycielskim było takie pytanie: "czy ktoś może mi powiedzieć czy audytor wewnętrzny może jednocześnie zajmować się sprawami ISO? jak do tej pory to słyszałam różne opinie a chciałabym mieć 100% pewności"

Odpowiedź rzeczywiście jest: może (moim zdaniem:) )

Potem rozwinęła się dyskusja na inne tematy: bycie pełnomocnikiem (moim zdaniem AW nie może), audytowanie AW przez ISO itd..

Więc jeżeli Pani Julia przeczytała całość, to na pewno o tym wie:)
Link do wypowiedziLink
Marcin D.

Marcin D. Audyt - Szkolenia -
Doradztwo Marcin
Dublaszewski

Temat: audyt wenętrzny a audit ISO

Bo ja uważam, że nie gdyż klasyfikuje przeglądy ISO jako mechanizm kontrolny, który jako AW oceniam, ale nie realizuję :)
Link do wypowiedziLink
Grzegorz Krzemiński

Grzegorz Krzemiński 600+ projektów w
bezpieczeństwie |
Trener | RODO | HSSE
|...

Temat: audyt wenętrzny a audit ISO

Ale fajna dyskusja, dzięki Marku, że wyszła w innym.

Panie Marcinie - co to jest wartość dodana? Jak w trakcie audytu wykonam sprawdzenie realizacji SYSTEMU i stwierdzę:
1. Niezgodności
2. Potencjał doskonalenia

To naprawdę nie będzie wartości dodanej?

1. Niezgodności mogą być:
a) z przepisami prawa - wartość dodana unikanie materializacji utraty wizerunku, ryzyk prawnych etc. Czyli daję firmie WIĘKSZY spokój niż miała.
b) z wymaganiami klienta - czyli oceniam, czy system spełnia te wymagania. Innymi słowy, czy system gwarantuje mi, że mój klient jest zadowolony. Jak nie - koryguję - sprawiam że będzie MNIEJ REKLAMACJI (niższe koszty obsługi błędów, reputacja, ryzyka prawne z cywilnego etc). I to jest protokół niezgodności - klient chce, firma nie daje, ja działam tak, że jednak firma da. Czyli jest zmiana i skok.
c) z wymaganiami organizacyjnymi - czyli nie zawsze firma da radę. Albo inaczej, da radę, ale się zaraz położy. Więc może nieco zelżyć i dać firmie dłużej działać? To będzie wartość - że pokażę, że odpuszczamy, aby żyć?

I tyle o niezgodnościach. Jeszcze potencjał.

jak widzę, ze procesy mogą byc realizowane lepiej, ale nie jest to na dziś włączone do systemu, to dam wartość dodaną? A do tego moje działanie zaskutkuje USTANOWIENIEM tego jako wymaganie - czyli określi, że to nie jednorazowe zastosowanie dobrej praktyki, a wejście w standard firmy. Innymi słowy, firma zacznie działać lepiej - to dobrze czy źle?

Co do tego czy AW może być audytowany przez ISO. Skoro jest standard, który zawiera co ma być, to spokojnie może być audytowany.

W nomenklaturze ISO - standard jest KRYTERIUM. Zawiera WYMAGANIA.

I dla jasności moje zdanie, bo mam wrażenie, że tu coś nieco źle jest rozumiane.

Wdrożenie systemu zarządzania jakością NIE ZNACZY, że produkt będzie miał najwyższą JAKOŚĆ. Oznacza, że wdrożony został system, który do tego dąży.

A przeglądając standardy jakoś nie moge sie oprzeć wrażeniu, że coś podobnego czytałem. ISO 19011.

I pytanie:2000 ład korporacyjny, zarządzanie ryzykiem i kontrola - to są wszystkie obszary badane?

Zaczynam mieć wrażenie, że dyskusja jest o wyższości....

Natomiast jeśli chodzi o ISO i badanie AW przez audytorów, AW jest procesem, więc jak Marek pisał, podlega audytowi, chyba że zostanie wyłączony. Ale nie kontroli przez ISO, co chyba jest nieco mylone.
Link do wypowiedziLink
Marcin D.

Marcin D. Audyt - Szkolenia -
Doradztwo Marcin
Dublaszewski

Temat: audyt wenętrzny a audit ISO

Proszę o Pana interpretacje gdzie umieścić należy audyt ISO / weryfikacje spełnienia norm (kryteriów) a gdzie audyt wewnętrzny wg IIA:


Obrazek
Link do wypowiedziLink
Grzegorz Krzemiński

Grzegorz Krzemiński 600+ projektów w
bezpieczeństwie |
Trener | RODO | HSSE
|...

Temat: audyt wenętrzny a audit ISO

ISO wszędzie. Standard IIA mam ten, który Pan wrzucił w którymś wątku, więc się nie silę na takie oceny. Definicje, Kodeks, Standardy.

Pozwoli Pan, że na chwilę obecną tylko ISO, jak się wczytam w IIA to wtedy uzupełnię.

Na początek dwa zdania a może więcej, bo mam wrażenie, że nie do końca rozumiemy kwestie audytów jako narzędzia w ISO. Rodzajów audytów w ISO jest trzy. Strony pierwszej, drugiej i trzeciej.

ten strony pierwszej, zwany jest również wewnętrznym i do niego miała zastrzeżenia Pani Olga również w zakresie bycia pełnomocnikiem i audytorem wewnętrznym.
strony drugiej - pomińmy
strony trzeciej - certyfikacyjny, wykonywany przed uzyskaniem "kwitka na ścianę" oraz w ramach audytu nadzoru co rok.

Odnosząc się do Pańskiego pytania i tego co napisałem - WSZĘDZIE. Audyt wewnętrzny będzie wszędzie tam, gdzie ustalono jakieś zasady. W wątku zaistniała jakaś fatalna pomyłka, czy tez pomylenie tego rodzaju audytu z audytem strony trzeciej.

Audyt wewnętrzny w rozumieniu ISO ma na celu sprawdzenie, czy zaplanowany system funkcjonuje tak jak go.. zaplanowano. Innymi słowy, nie jest jego celem weryfikowanie prawidłowości rozwiązań np w zakresie audytu wewnętrznego - tylko to, czy te rozwiązania są stosowane.

Innymi słowy, weźmy ryzyko. Załóżmy, że w ramach oceny ryzyka, należy przeprowadzić analizę ryzyka nie rzadziej niż raz w roku (wymaganie nr 1). Analiza ma być wykonana przez speca od ryzyka oraz właściciela ryzyka (wymaganie nr 2) oraz udokumentowana (wymaganie nr 3). Poziomy ryzyka akceptowalnego (to samo co w waszym przypadku - apetyt na ryzyko) mają być udokumentowane (wymaganie nr 4) i przyjęte przez najwyższe kierownictwo (wymaganie 5). Dam sobie spokój, co dalej z tym ryzykiem, na potrzeby przykładu wystarczy chyba.

I niech te zasady zostaną określone dajmy na to w jakimś zarządzeniu czy uchwale zarządu.

Załóżmy również, ze szacowanie i ocena ryzyka jest procesem włączonym do systemu zarządzania jakością.

Zarządzenie staje się kryterium audytu. Zapisy powyżej stają się wymaganiami. A audyt wewnętrzny sprawdza:
1. Czy ocena została wykonana w zadanym czasie - wymaganie 1.
2. Czy ocena ryzyka została wykonana przez minimalny zespół - wymaganiem 2.
3. Czy ocena została właściwie udokumentowana - wymaganie 3.
4. Czy udokumentowano poziom ryzyka akceptowalnego - wymaganie 4.
5. Czy poziomy ryzyka zostały przyjęte przez odpowiedni szczebel w firmie - wymaganie 5.

Jeśli okaże się, że któraś z tych czynności nie została wykonana lub wykonana niezgodnie z uchwałą czy zarządzaniem - mamy niezgodność i protokół niezgodności. Natomiast jeśli audytor uzna, ze np dokumentacja określona w wymaganiu 3, jest mało czytelna, czy tez różni się od tej z zeszłego roku, może wskazać potencjał doskonalenia, np w postaci przyjęcia stosownego formularza.

Do tych czynności jak widać, nie jest niezbędny wiedzy merytorycznej z oceny i szacowania ryzyka. Bo audyt nie ma wykonać kontroli ani zdublować działania eksperta ds ryzyka. Po to jest zatrudniony ten ekspert, aby to on kształtował swój proces. A jego ukształtowanie procesu, zatwierdzone zgodnie z zasadami funkcjonującymi w firmie - jest elementem całego systemu.

Dodatkowo jak (mam nadzieję) widać na przykładzie, pełnomocnik w żadnym stopniu nie jest tutaj w konflikcie interesu, bo jego procesem jest to, żeby to wszystko hulało zgodnie z wymaganiami zawartymi w kryteriach - tutaj akurat w uchwale dot ryzyka.

I teraz jak to wszystko ma się do kostki pana Marcina.

Cóż.. dobrze ustawione procesy we wszystkich perspektywach, ze wskazaniem właścicieli procesu, na każdym poziomie organizacji będą kryteriami zawierającymi określone wymagania. A audytorzy wewnętrzni ISO, mogą sprawdzić na rzecz wewnętrznych (jako pełnomocników), czy to co sobie zaplanowali jest realizowane. Ale bez sprawdzeń merytorycznych. Bo za merytoryke, jak pisałem wyżej, odpowiada właściciel tego danego procesu.
Link do wypowiedziLink
Grzegorz Krzemiński

Grzegorz Krzemiński 600+ projektów w
bezpieczeństwie |
Trener | RODO | HSSE
|...

Temat: audyt wenętrzny a audit ISO

A i o zewnętrznym, strony trzeciej, czyli certyfikacyjnym. Tam głównym kryterium jest norma, bo certyfikat jest na ZGODNOŚĆ z normą. Plus zespół audytorów - powinien być zgodny z zakresem audytu, z określonym doświadczeniem etc - co jest zawarte w pewnych wymaganiach jednostek certyfikujących.
Link do wypowiedziLink
Marek Kubiś

Marek Kubiś programista c#

Temat: audyt wenętrzny a audit ISO

Grzegorz K.:
Ale fajna dyskusja, dzięki Marku, że wyszła w innym.
Grzesiu, była jeszcze taka ;-) http://www.goldenline.pl/forum/1516402/publikacje-arty...
Zaczynam mieć wrażenie, że dyskusja jest o wyższości....
Tak. I obawiam się, że jesteś na tej samej ścieżce, aby przeczytać taką samą opinię o sobie, jaką zawarto o mnie, że myślisz, że coś udowodniłeś itp, itd, a tak naprawdę nic nie udowodniłeś itp, itd., powtarzasz te same bzdury, .. . :-((( Powiedziałem swoje zdanie, wystarczy. Jak ktoś nie chce się nad tym co napisałem merytorycznie pochylić, nadal chce błądzić, chce sam siebie oszukiwać, to niech błądzi, niech sam siebie oszukuje. :-(
Link do wypowiedziLink
Marcin D.

Marcin D. Audyt - Szkolenia -
Doradztwo Marcin
Dublaszewski

Temat: audyt wenętrzny a audit ISO

Po spotkaniu rabina z księdzem obaj dochodzą do wniosku , iż druga strona błądzi. Czy ktoś może rozsądzić ich spór? Czy ktoś ma się dalej oszukiwać?
Link do wypowiedziLink
Grzegorz Krzemiński

Grzegorz Krzemiński 600+ projektów w
bezpieczeństwie |
Trener | RODO | HSSE
|...

Temat: audyt wenętrzny a audit ISO

Zadałem pytanie - czy zgodnie ze standardem IIA, celem działania kontroli wewnętrznej są ład korporacyjny, zarządzanie ryzykiem i kontrola. Czy mógłbym uzyskać odpowiedź na to pytanie?
Marcin D.:
Po spotkaniu rabina z księdzem obaj dochodzą do wniosku , iż druga strona błądzi. Czy ktoś może rozsądzić ich spór? Czy ktoś ma się dalej oszukiwać?

A skąd wniosek, że jest jakaś jedna i druga strona? Wydawało mi się, że zarówno celem IIA jak i ISO jest takie działanie, aby organizacja funkcjonowała bardzo dobrze, a do tego się rozwijała.
Marek Kubiś:
Grzegorz K.:
Ale fajna dyskusja, dzięki Marku, że wyszła w innym.
Grzesiu, była jeszcze taka ;-) http://www.goldenline.pl/forum/1516402/publikacje-arty...
Zaczynam mieć wrażenie, że dyskusja jest o wyższości....
Tak. I obawiam się, że jesteś na tej samej ścieżce, aby przeczytać taką samą opinię o sobie, jaką zawarto o mnie, że myślisz, że coś udowodniłeś itp, itd, a tak naprawdę nic nie udowodniłeś itp, itd., powtarzasz te same bzdury, .. .

Wydawało mi się, że celem dyskusji jest przedstawienie swoich poglądów, przedusktowanie ich, z poparciem argumentami merytorycznymi. Nieco mnie niepokoisz, że może być nieco inaczej, zwłaszcza w grupie ludzi, którzy w standardzie maja zapisaną prawość, obiektywizm, poufność, kompetencje.

Uciekanie się do argumentów ad personam, czy też opinii O OSOBIE (wybacz Marku nie czytałem, opieram się na Twojej informacji), w trakcie dyskusji O PROBLEMIE, wydaje mi się porzuceniem obiektywizmu i brakiem dyskusji o problemie.

Jednocześnie z kompetencjami zaczynam się obawiać, bo pomylenie tak istotnych i kluczowych wręcz definicji i obszaru działania systemów opartych o ISO we wcześniejszej dyskusji - każe zadać pytanie o kompetencje?

I tu tez bym poprosił o odpowiedź w zakresie rozumienia standardu IIA - czy kompetencje, w zakresie kodeksu etyki odnoszą się do kompetencji związanych z obszarem działania AW, czyli ładu korporacyjnego, zarządzania ryzykiem i kontroli, czy też do całości zarządzania organizacją?

Systemy zarządzania wdrażane na bazie norm ISO, i to nie tylko 9-tka, a wszystkie, sa systemami zarządzania organizacją. Może mi się błędnie wydawało, że jako taki system, który reguluje całość pracy organizacji, powinien być doskonale znany co do podstaw przez AW, bo ... obejmuje często podobne zakresy.

ISO 27000 - bezpieczeństwo informacji, mowa o ryzyku (norma dedykowana nawet - 27005). ISO 22000 mowa o ryzyku. ISO 18000 metody szacowania ryzyka przejęte nawet przez organizacje nie posiadające wdrożonego systemu zarządzania, a na studiach z BHP czy na kursach metody wykładane jako najbardziej trafne. ISO 31000 - to już norma o ... zarządzaniu ryzykiem.

Dlatego bardzo chętnie dowiem się, o kompetencjach, jak rozumiane są w standardzie IIA - tylko wewnętrzne, czy też zewnętrzne, związane z organizacją.

Dla ciekawostki o ISO. Wewnętrzne standardy korporacyjne niektórych firm zza oceanu zawierają odniesienie do ISO - że jak jest to ma być przestrzegane na równi z własnymi. Więc jak widać na ISO coraz więcej organizacji się otwiera.

A do niniejszego wątku wpadłem, bo myślę, ze jest to ciekawe miejsce podyskutowania w gronie ludzi mających pojęcie o swojej robocie, jak znaleźć punkty styczne i jak najwięcej wyciągnąć zyskwó i korzyści - nawet na synergii. Wszak będzie to ogromna wartość dodana, dwa systemy - IIA, w zakresie kontroli wewnętrznej, zintegrowany i pogodzony z ISO - porządek aż miło.

I mam nadzieję, że dalej w takim kierunku będzie się dyskusja rozwijać, a nie o osobach. Czego sobie i państwu w niedzielny poranek życzę.

EDIT:

P.S. Marku przeczytałem pierwszą stronę tamtego wątku. Niestety, więcej nie dałem rady.

Dla szukających gdzie ISO jest baza IQnet i organizacje z nimi współpracujące:
http://www.iqnet-certification.com

W samych USA w tej jednej bazie jest prawie 6 tys organizacji certyfikowanych. A pytanie z pierwszej strony o firmy:
Bridgestone - 21 spółek. Certyfikacja na jakość, środowisko, BHP i automotive.
Unilever jakość, środowisko, BHP i żywnościówka. I co ciekawe, nawet w Izraleu.

Myślę, że taki argument w tym wątku też przydatny - chyba nie można się odwracać od standardów, skoro klienci AW według IIA, mają go wdrożonego w tak wielu różnorodnych firmach.Grzegorz K. edytował(a) ten post dnia 29.07.12 o godzinie 07:53
Link do wypowiedziLink
Marcin Młynarczyk

Marcin Młynarczyk Head of European
Finance Shared
Services Center

Temat: audyt wenętrzny a audit ISO

Grzegorz, wytłumacz proszę w czym tkwi "PROBLEM", o którym piszesz niżej. Staram się zrozumieć jaki jest temat dyskusji.

Ja nie widzę w argumentacji audytorów wewnętrznych stwierdzeń, które uprawniały by wnioskowanie, że dyskusja jest "o wyższości".

Zanim zaczniesz wnioskować odnośnie innych postów, przeczytaj proszę całość.

Co do dyskusji z p. Markiem to niewątpliwie nie pomagają mu posty takie jak ten ostatni, w którym w swoim charakterystycznym stylu stwierdził, że jak ktoś chce "nadal chce błądzić, chce sam siebie oszukiwać, to niech błądzi, niech sam siebie oszukuje. :-(". Jak się sensownie odnieść do takiego wpisu? To jest merytoryczna uwaga?
Link do wypowiedziLink
Marek Kubiś

Marek Kubiś programista c#

Temat: audyt wenętrzny a audit ISO

Marcin Młynarczyk:
Co do dyskusji z p. Markiem to niewątpliwie nie pomagają mu posty takie jak ten ostatni, w którym w swoim charakterystycznym stylu stwierdził, że jak ktoś chce "nadal chce błądzić, chce sam siebie oszukiwać, to niech błądzi, niech sam siebie oszukuje. :-(". Jak się sensownie odnieść do takiego wpisu? To jest merytoryczna uwaga?
Panie Marcinie z mojej strony to nawiązanie do takich nieporozumień jak np: na wątku obok o audycie językowym, kiedy ja odnoszę się do nietrafności podważania potrzeby audytora BHP a tłumaczone mam że nie rozumiem bo osoba odpowiedzialna za sprawy BHP to .. . Przecież nie nawiązuję do tej samej osoby i bo tu na 100% ktoś się myli. Jeżeli nawet w tak prostym przypadku nie można ustalić konsensusu co do uwaga trafiona/nietrafiona, to jak ja mam się do tego odnieść? EOT
Link do wypowiedziLink
Grzegorz Krzemiński

Grzegorz Krzemiński 600+ projektów w
bezpieczeństwie |
Trener | RODO | HSSE
|...

Temat: audyt wenętrzny a audit ISO

Marcin Młynarczyk:
Grzegorz, wytłumacz proszę w czym tkwi "PROBLEM", o którym piszesz niżej. Staram się zrozumieć jaki jest temat dyskusji.

Pytasz o nasze zdanie, czy to pytanie retoryczne?
Ja nie widzę w argumentacji audytorów wewnętrznych stwierdzeń, które uprawniały by wnioskowanie, że dyskusja jest "o wyższości".

Zanim zaczniesz wnioskować odnośnie innych postów, przeczytaj proszę całość.

Ten konkretny przeczytałem. I ja widzę. Już od pierwszej strony. Ale za porady baaaardzo dziękuję. Tylko wybacz, wolę dyskusję merytoryczną, więc ci nie odpiszę, żebyś tez go przeczytał.
Link do wypowiedziLink
Marcin D.

Marcin D. Audyt - Szkolenia -
Doradztwo Marcin
Dublaszewski

Temat: audyt wenętrzny a audit ISO

Ktoś jeszcze gotowy do rozmowy? :)
Link do wypowiedziLink
Grzegorz Krzemiński

Grzegorz Krzemiński 600+ projektów w
bezpieczeństwie |
Trener | RODO | HSSE
|...

Temat: audyt wenętrzny a audit ISO

Jaaaaaaaa... a o co chodzi?
Link do wypowiedziLink
Marcin D.

Marcin D. Audyt - Szkolenia -
Doradztwo Marcin
Dublaszewski

Temat: audyt wenętrzny a audit ISO

Ciekawi mnie czy zmieniło się spojrzenie dyskutantów po upływie takiego okresu czasu. Osobiście wciąż nie spotkałem zawodowo jednostki, która miała by wdrożenie ISO (niestety, to przez to, że robię głównie w budżetowce) a z drugiej strony "dostrzegłem" 27001 i powiązane i na nich się opieram, ba nawet chcę rozwinąć swoją wiedzę w obszarze bezpieczeństwa właśnie.
Link do wypowiedziLink
Grzegorz Krzemiński

Grzegorz Krzemiński 600+ projektów w
bezpieczeństwie |
Trener | RODO | HSSE
|...

Temat: audyt wenętrzny a audit ISO

A ok. Tak nie wiedziałem, bo nieco archeologia... ;-)

No to z mojej perspektywy. Wczoraj akurat szkoliłem fajną grupę z ISO 27001 - prawie 100 osób z jednej z publicznych instytucji. Więc zainteresoweanie jest.

Jak mogę coś podpowiedzieć, to warto przyjrzeć się ISO 223xx- to seria norm z grupy Societal Security. Takie bardziej bezpieczeństwo realizowane w administracji publicznej (warto aby było). Obecnie pracujemy w BSI nad ISO 22316 - która znów dotyczy ciągłości czy dokładniej trwałości organizacji.

To bardziej w kontekście zarządzania kryzysowego - dla administracji, tak aby nie zdarzył się scenariusz w któym organizacje publiczne nie będą w stanie realizować zadań (a to już zarządzanie kryzysowe).

Dwa zdania o resilience - niestety z kryptoreklamą, ale mam nadzieję niewielką...
https://www.linkedin.com/pulse/odporność-trwałość-...

Ogólnie dość mocno ten kierunek się rozwija. W zeszłym roku byłem na konferencji - Business Continuity & Resilience i o tym drugim fajnie gadał facet z City of London. Także jeśli adm publiczna - to myślę, że warto.
Link do wypowiedziLink

konto usunięte

Temat: audyt wenętrzny a audit ISO

Marcin D.: "Ciekawi mnie czy zmieniło się spojrzenie dyskutantów po upływie takiego okresu czasu. Osobiście wciąż nie spotkałem zawodowo jednostki, która miała by wdrożenie ISO (niestety, to przez to, że robię głównie w budżetowce) a z drugiej strony "dostrzegłem" 27001 i powiązane i na nich się opieram, ba nawet chcę rozwinąć swoją wiedzę w obszarze bezpieczeństwa właśnie".

Wydarzeniem I Kongresu GRC 2015 było wręczenie przedstawicielom Poczty Polskiej SA, pierwszego w Polsce certyfikatu ISO 31000, potwierdzającego funkcjonowanie Zintegrowanego Systemu Zarządzania Ryzykiem przez niezależną międzynarodową jednostkę certyfikacyjną BSI. Wręczenie certyfikatu poprzedził bardzo ciekawy wykład Pana Andrzeja Wiktorowicza (Poczta Polska SA) w zakresie funkcjonowania GRC w organizacji zatrudniającej 85 tysięcy pracowników. Przygotowanie i wdrożenie systemu z zarządzania ryzykiem wg ISO 31000 w Poczcie Polskiej SA realizowała PBSG.

PBSG jest chyba wiodącą firmą wdrażającą ISO w Polsce.
Patrz:
Obrazek

http://www.fejs.org.pl/dziekujemy-uczestnikom-i-organi...Ten post został edytowany przez Autora dnia 25.05.16 o godzinie 11:13
Link do wypowiedziLink
Wioletta Pozioma

Wioletta Pozioma

Temat: audyt wenętrzny a audit ISO

Można pełnić dwie role jednocześnie. Stanowisko audiotra wewnętrznego ISO 9001:2015 uzyskałam dzięki szkoleniu e-learningowemu. Rodzina i znajomi nie chcieli mi wierzyć! „e” kursy, z których oni korzystali, przekazywały zazwyczaj znikomą wiedzę- nie sądzili, że w moim przypadku może być inaczej. Firma Meritum naprawdę przyłożyła się do realizacji swoich szkoleń, widać, że ich przygotowanie trochę trwało i było solidne, skrupulatne. Fenomenalna sprawa - właśnie dzięki temu dało mi się do jakoś zgrać w całość :)
Link do wypowiedziLink
« Wróć do tematów
Odpowiedz

Podobne tematy





Wyślij zaproszenie do
Anuluj