Aktuálny stav prípravy revízie

normy ISO 9001

Miroslav HRNČIAR

Žilinská univerzita v Žiline

Kvalita v informačných technológiách Bratislava, 19.02.2015

Obsah

• Normy systémov manažérstva

• Prístup ISO a IEC pri zosúlaďovaní noriem systémov manažérstva

• Očakávané zmeny v revízii normy ISO 9001

• Význam rizika v ISO 9001

• ISO 9001 pre organizácie IKT

2/12

Širší pohľad na normy systémov manažérstva (NSM)

• Normy pre systémy manažérstva vytvárajú prostredie na zlepšovanie vlastnej výkonnosti a schopnosti organizácie plniť rôzne požiadavky (vlastné, požiadavky zákazníkov a ďalších zainteresovaných strán), a to v rôznych oblastiach svojho pôsobenia (kvalita, informačná bezpečnosť, životné prostredie, energie, ochrana zdravia zamestnancov)

• Zlepšovanie systémov manažérstva založenom na uzatvorených koncepciách (norme stanovujúcej požiadavky) je vykonávané prostredníctvom auditov

• Na plánovanie a realizáciu auditov a na kompetentnosť audítorov je vydaná norma ISO 19011:2011, použiteľná pre všetky normy SM

• Organizáciám zabezpečujúcim vydávanie noriem záleží na uľahčovaní procesu implementácie, udržiavania a zlepšovania systémov manažérstva (zriadenie TMB)

3/12

Integrovaný systém manažérstva (ISM) • Podpora integrácie systémov

manažérstva v organizácii prostredníctvom štruktúry vysokej úrovne NSM

• Účel: – Vytvorenie konzistentného systému

vyvažujúceho viaceré záujmy

– Nastavenie spoločných cieľov

– Redukcia počtu auditov (nákladov)

– Zjednodušenie internej komunikácie a dokumentácie v organizácii

– Rozvíjanie kompetentností a zapojenia zamestnancov

4/12

Širší potenciál pre IMS:

ISO 22301 – Manažérstvo kontinuity podnikania

ISO 50001 – Energetické manažérstvo

ISO 20121 – Manažérstvo udržateľných udalostí

ISO 26000 – Spoločenská zodpovednosť

ISO 28000 – Bezpečnosť dodávateľského reťazca

Kvalita

Environment

BOZP

Informačná bezpečnosť

Orientované na zákazníka

Orientované na zamestnanca

Orientované na spoločnosť

Orientované na organizáciu

Úsilie normalizačných organizácií o zjednodušovanie previazania noriem systémov manažérstva

• Minulosť zjednocovania SM pri revíziách noriem systémov manažérstva (od 2000) – Zjednocovanie terminológie, zavedenie procesného prístupu

– Logika všeobecnej použiteľnosti (generické normy)

– Číslovanie noriem systémov manažérstva vnútri „skupiny“ noriem

– Uvádzanie súvislostí medzi normami systémov manažérstva (informatívna príloha normy)

– Návody na auditovanie viacerých systémov manažérstva - norma ISO 19011:2002

• Súčasnosť zjednocovania (od 2012)

– ISO - vydanie Smernice „Časť 1“ a „Konsolidovaný doplnok“ (príloha SL), kde sa pri nasledujúcej revízii noriem systémov manažérstva (príloha SL) zosilňuje kompatibilita noriem SM prostredníctvom:

• jednotnej štruktúry normy (kapitoly a podkapitoly normy)

• spoločnej východiskovej terminológie

• jednotného kľúčového textu

• Normy systémov manažérstva, ktoré už boli vydané s rešpektovaním Prílohy SL smernice ISO časť 1: – ISO 22301:2012, ISO 20121: 2012, ISO 39001: 2012, ISO/IEC 27001: 2013

5/12

Revízia normy ISO 9001 revízia 2015

• V poradí 5. revízia normy ISO 9001 (vydaná 1987, 1994, 2000, 2008)

• Aktuálny stav – DIS, vydaný 10.10.2014 na pripomienkovanie, doposiaľ FDIS nevydaný

• Významnejšie zmeny v súčasnej verzii ISO/DIS 9001 – Štruktúra, text a terminológia – prispôsobená upravenému doplnku smernice časť 1, príloha SL

– Zvýraznenie pojmu služby zavedením pojmov „Produkty a služby“

– Zohľadňovanie dôležitosti „Súvislostí organizácie“ (interných a externých)

– Zavedenie „Uvažovania so zohľadňovaním rizika“

– Nepredpisovanie špecifických výnimiek z plnenia požiadaviek

– Zjednodušenie požiadaviek na dokumentáciu (zavedenie pojmu „Dokumentovaná informácia“)

– Explicitné zaoberanie sa Znalosťami/poznatkami v organizácii

– Zavedenie riadenia „Externe poskytovaných produktov a služieb“

6/12

Spoločná terminológia pre systémy manažérstva • Organizácia

• Zainteresovaná strana

• Požiadavka

• Systém manažérstva

• Vrcholový manažment

• Efektívnosť

• Politika

• Cieľ

• Riziko

• Kompetentnosť

• Dokumentovaná informácia

• Proces

• Výkonnosť

• Externe poskytovaný produkt /služba

• Monitoring

• Meranie

• Audit

• Zhoda

• Nezhoda

• Nápravné opatrenie

• Trvalé zlepšovanie

Jednotná štruktúra kapitol normy 1. Predmet 2. Normatívne odkazy 3. Termíny a definície (21 jednotných pojmov) 4. Súvislosti v organizácii – pochopenie organizácie a jej interných a externých súvislostí a

pochopenie potrieb a očakávaní zainteresovaných strán 5. Vodcovstvo – demonštrovanie záväzku vrcholovým manažmentom organizácie, zabezpečenie

previazania politiky, cieľov kvality so strategickým smerovaním organizácie a jej súvislostí 6. Plánovanie systému manažérstva kvality – zohľadňovanie rizika a príležitostí (čo nahrádza

preventívne opatrenia), určenie cieľov kvality a spôsobu ich dosiahnutia 7. Podpora – zdroje potrebné na zriadenie, implementáciu a trvalé zlepšovanie systému

manažérstva kvality, kompetentnosti, povedomie, komunikácia a dokumentované informácie 8. Prevádzka – určenie požiadaviek na produkty a služby, komunikácia so zákazníkom, návrh a

vývoj produktov a služieb, riadenie produkcie, riadenie zmien 9. Hodnotenie výkonnosti – monitorovanie, meranie, analýza a hodnotenie, interné audity a

preskúmanie manažmentom 10. Zlepšovanie – nezhoda, nápravné opatrenia a trvalé zlepšovanie

8/12

Identický kľúčový text v normách systémov manažérstva - príklady

• Súvislosti v organizácii

– Organizácia musí určiť vonkajšie a vnútorné náležitosti, ktoré sú podstatné pre jej účel a ktoré ovplyvňujú jej schopnosť dosiahnuť systémom manažérstva KVALITY zamýšľané výsledky

– Organizácia musí určiť zainteresované strany, ktorých sa týka systém manažérstva KVALITY • Vodcovstvo

– Vrcholový manažment musí preukázať vodcovstvo a záväzok týkajúci sa uznania systému manažérstva KVALITY zabezpečovaním určenia politiky a cieľov KVALITY pre systém manažérstva KVALITY a ich kompatibilitu so strategickým smerovaním organizácie

– zabezpečovaním, že systémom manažérstva KVALITY sa dosahujú vlastné zamýšľané výsledky;

• Plánovanie

– Organizácia musí plánovať, ako integruje a implementuje činnosti do procesov vlastného systému manažérstva KVALITY

– Organizácia musí zabezpečiť, aby ciele KVALITY boli v súlade s politikou KVALITY

• Podpora

– Organizácia musí určiť a poskytovať potrebné zdroje na vypracovanie, implementáciu, udržiavanie a trvalé zlepšovanie systému manažérstva KVALITY

– Osoby vykonávajúce prácu, ktorú riadi organizácia, musia si byť vedomé politiky KVALITY a ich podieľania sa na efektívnosti systému manažérstva KVALITY vrátane podieľania sa na zlepšovaní výkonnosti KVALITY

• Prevádzka

– Organizácia musí plánovať, implementovať a riadiť procesy, ako sú vysvetlené v 4.4, potrebné na splnenie požiadaviek poskytovania produktov a služieb a implementovať činnosti určené v 6.1, aby sa určili kritériá pre procesy a pre akceptovanie produktov a služieb

• Hodnotenie výkonnosti

– Organizácia musí hodnotiť výkonnosť KVALITY a efektívnosť systému manažérstva KVALITY.

– Výstupy z preskúmania manažérstva musia zahrňovať rozhodnutia týkajúce sa trvalého zlepšovania a všetky potreby zmien systému manažérstva KVALITY

• Zlepšovanie

– Organizácia musí trvalo zlepšovať vhodnosť, primeranosť a efektívnosť systému manažérstva KVALITY

9/12

1 Predmet

2 Normatívne odkazy

3 Termíny a definície

4 Systém manažérstva informačnej

bezpečnosti

4.1 Všeobecné požiadavky

4.2 Zavedenie a manažérstvo SMIB

4.3 Požiadavky na dokumentáciu

5 Zodpovednosť manažmentu

6 Interné audity SMIB

7 Preskúmanie SMIB manažmentom

8 Zlepšovanie SMIB

ISO/IEC 27001: 2005 ISO 9001: 2008

1 Predmet

2 Normatívne odkazy

3 Termíny a definície

4 Súvislosti v organizácii

1 Predmet

2 Normatívne odkazy

3 Termíny a definície

4 Systém manažérstva kvality

4.1 Všeobecné požiadavky

5.6 Preskúmanie manažmentom

4.2 Požiadavky na dokumentáciu

5 Zodpovednosť manažmentu

6 Manažérstvo zdrojov

7 Realizácia produktu

8 Meranie, analýza a zlepšovanie

5 Vodcovstvo

6 Plánovanie

9 Hodnotenie výkonnosti

10 Zlepšovanie

8 Prevádzka

7 Podpora

5.4 Plánovanie

ISO/IEC 27001: 2013

ISO 9001: 2015

8.5 Zlepšovanie

8.5.3 Preventívne opatrenie

8.2.2 Interný audit

8.5.2 Nápravné opatrenie

8.2 Monitorovanie a meranie

8.3 Riadenie nezhodného produktu

Uvažovanie so zohľadňovaním rizika • Definovanie rizika = vplyv neistoty na dosiahnutie cieľa (ISO Guide 73, ISO 31000)

• Vnímanie rizika ako odchýlky od očakávaného - nielen ako negatívny prvok (hrozba), ale aj ako pozitívny prvok (príležitosť)

• Koncepcia „Preventívnych opatrení“ je vyjadrená prostredníctvom „uvažovania so zohľadňovaním rizika“, a to sa stalo súčasťou strategického plánovania

• Vzťah k riziku v systémoch manažérstva - zmena z reaktívnej pozície na proaktívnu pozíciu/organizáciu z pohľadu prístupu k riziku

• Organizácia musí (požiadavky)

– určiť riziká a príležitosti, ktoré môžu mať vplyv na jej schopnosť dosahovať svoje ciele

– monitorovať, merať, analyzovať a hodnotiť riziká a príležitosti

– navrhovať opatrenia na prevenciu alebo redukciu neželaných vplyvov a zaviesť postupy na zaobchádzanie s rizikom

– ako súčasť zlepšovania reagovať na zmeny v rizikách

11/12

Očakávané kroky ISO 9001 • Ukončenie pripomienkovania DIS ISO 9001, zverejnenie FDIS, hlasovanie

• Vydanie ISO/TS 9002 – Návod na implementáciu ISO 9001:2015

• Preklad terminologickej normy ISO 9000

• Preklad „požiadavkovej normy“ ISO 9001

• Preklad „Návodu na implementáciu ISO 9001: 2015“, teda ISO 9002

• Pripomienka – ISO/IEC 90003: 2014 – Návod na aplikáciu ISO 9001:2008 na počítačový softvér – uľahčuje implementáciu ISO 9001 do organizácií, ktoré vyvíjajú, dodávajú a

prevádzkujú softvér

– nerozširuje ani nemení požiadavky, ale ich vysvetľuje a preväzuje s normami vydávanými pre oblasť organizácií pôsobiacich v IKT sektore

12/12

Ďakujem za pozornosť

miroslav.hrnciar@fri.uniza.sk