Wprowadzenie
Osiąganie zgodności niezależnie od tego, czy dotyczy oficjalnego standardu, procedury czy też wymagań technicznych, przebiega generalnie w trzech etapach. W pierwszym etapie określany jest standard i wymagania. Kolejny etap to osiąganie zgodności, czego wynikiem są dowody, że wymagania są spełnione. Dowody podlegają przeglądowi i ocenie, czego wynikiem jest potwierdzenie zgodności. Zależnie od standardu i wykonawcy oceny wynikiem może być certyfikat potwierdzający zgodność.
Różne osoby czy instytucje mogą być zaangażowane w poszczególnych etapach. Etap dostarczenia dowodów realizowany jest zwykle przez użytkownika standardu, ale może być też angażowana strona trzecia, audytorzy lub działy testów jednostek certyfikujących w wypadku certyfikacji produktów lub obiektów.
W praktyce jest to zwykle złożony proces wymagający spełnienia różnych celów zgodności i dużej liczby wymagań w sposób zależny od specyfiki organizacji, procesów, technologii i innych czynników. Podczas przygotowań do oceny lub certyfikacji często powracają pytania, takie jak: czy mamy zebrać wszystkie wymagane dowody zgodności, czy określone cele zostały już w pełni zrealizowane, czy mamy aktualne informacje lub jak zarządzamy ryzykiem, odstępstwami, zagrożeniami i innymi zagadnieniami. Problemy te stają się trudniejsze, gdy pracujemy nad systemami lub infrastrukturą krytyczną w branżach takich jak energetyka, transport, lotnictwo, przemysł chemiczny lub urządzenia medyczne. Potrzeba zapewnienia poprawności, spójności oraz weryfikowalności staje się jednym z głównych zagadnień w zarządzaniu zgodnością. Jednym ze sposobów zarządzania takimi problemami jest systematyczne zarządzanie zgodnością zorientowane na cele.
Podstawowym założeniem podejścia zorientowanego na cele jest systematyczne i jednolite zarządzanie relacjami pomiędzy celami zgodności, wymaganymi cechami procesów i produktów oraz na końcu dowodów, które mają być przedstawione dla wykazania osiągnięcia celów. Zakres tych informacji jest szeroki i obejmuje organizację, zarządzanie, procesy, produkty i narzędzia, wiedzę oraz inne aspekty. Co więcej, informacja ta może pochodzić z różnych źródeł, może mieć różny format oraz różny poziom szczegółowości, a ciągle powinna być zarządzana w jednolity sposób.
Osobnym zagadnieniem jest sposób osiągnięcia celów zgodności. Niektóre standardy definiują jedynie cele i ogólne wymagania i musimy sami podjąć decyzję w jaki sposób cele mają być osiągnięte. Decyzję o sposobie realizacji danego celu nazywamy “strategią wdrożenia” i może być ona zależna od specyfiki danej organizacji. Czasem standardy i przepisy całkiem precyzyjnie określają wymagania i sposób postępowania, a często samemu należy to określić. Jeżeli przyjmiemy złe założenia lub wybierzemy niewłaściwą strategię wdrożenia, możemy dużo pracy włożyć w działania tylko po to, aby ostatecznie przekonać się, że cele nie zostały osiągnięte. Dlatego ważne jest podejmowanie przemyślanych decyzji wyboru strategii wdrożenia oraz weryfikacja, czy są właściwe.
Zgromadzenie wszystkich wymaganych informacji o zgodności wymaga systematycznego podejścia. Punktem początkowym są główne cele zgodności. Cele te należy następnie zdekomponować na cele podrzędne zależnie od standardów, dla których wykazujemy zgodność, przyjętych strategii wdrożenia dotyczących sposobu osiągnięcia zgodności z danym standardem, przepisami czy innymi celami. Dojście do szczegółowych wymagań jest zwykle procesem obejmującym wiele kroków i decyzji. Cele wysokiego poziomu są zwykle dekomponowane do celów niższego poziomu odnoszących się do procesów produkcyjnych oraz produktów. Następnie są dekomponowane do szczegółowych wymagań dotyczących czynności lub cech produktów, na przykład wyników testów. Określenie wszystkich celów zgodności do poziomu szczegółowych wymagań może zająć tygodnie. Krokiem końcowym planowania zgodności jest określenie wymaganych dowodów zgodności oraz zasad ich oceny.
Zarówno dowody zgodności jak i strategie wdrożenia powinny być oceniane podczas sprawdzania zgodności. W skrócie proces oceny zgodności ma dwa cele, to jest ocena:
- czy zgromadzone dowody zgodności są poprawne i spełniają wymagania,
- czy przedstawiono właściwe dowody (czy przyjęta strategia jest właściwa).
Każdy krok dekompozycji celów zgodności powinien być zrozumiały i uzasadniony. Dzięki temu mamy możliwość śledzenia i weryfikacji każdego kroku procesu w obu kierunkach, zarówno od celów najwyższego poziomu do wymagań szczegółowych, jak i w drugą stronę.
Intuicyjnie działamy w ten sposób, gdy zajmujemy się zgodnością, lecz nasza wiedza o relacjach między celami, wymaganiami oraz dowodami jest często rozproszona w różnych narzędziach, plikach Excela, na papierze oraz czasem w naszych głowach. Stosujemy PREMIS, aby trzymać te informacje w jednym miejscu nawet wtedy, gdy zarządzamy zgodnością dla wielu standardów oraz gdy definiujemy własne standardy, procedury i cele.
Gdy stosujesz podejście zorientowane na cele w zarządzaniu zgodnością, to jawnie określasz relacje pomiędzy celami, wymaganiami i dowodami zgodności. W konsekwencji daje to możliwość śledzenia wpływu wszystkich elementów w zarządzaniu zgodnością oraz wysoką weryfikowalność poziomu osiągnięcia celów.
Opiszemy podejście krok po kroku zaczynając od prostych scenariuszy.
Darmowe konto
na jeden projekt
Samoocena
zgodności z ISO 27001
Darmowy demonstrator projektu
dla wybranego standardu