ISO 37001 Akredytowany czy NIE?

Poniżej tylko 5 pytań do PSO, któremu dziękuję przy okazji za autoryzację i zgodę na publikację, za zaproszenie do projektu. Pytania i odpowiedzi dotyczą tylko tematyki projektu lub bliskie temu zagadnieniu.

DR: Skąd wiedza o certyfikacji, wdrożeniu, prawie, regulacjach, technicznych sprawach, regulacjach, etc..:

 PSO: Tak jak umawialiśmy się, odpowiem Panu tylko to na co mogę, pozostałe aspekty przemilczę i proszę do nich nie wracać. Jesteśmy odpowiedzialni za bezpieczeństwo biznesu, czy też projektu w zależności od potrzeb. Pomaga w tym doświadczenie i edukacja, którą każdy w strukturach CSO posiada. Certyfikację znamy nie tylko ze strony systemów zarządzania, ale przede wszystkim wyrobów, wymagań prawnych i odbiorowych, bo uczestniczymy obok QC w odbiorach technicznych, jako „drugie oczy”.  Nie stać nas na błędy, które można było łatwo przewidzieć. W zakresie certyfikacji byliśmy szkoleni przez akredytację, jak i wewnętrznie przez departamenty, które tematy zgodności prowadzą w różnych aspektach. Wielu z nas jest audytorami zewnętrznymi.

DR:  Jak prowadzone są u Państwo projekty wdrożeniowe tego typu jak np. systemy zarządzania, czy też wprowadzenie regulacji wewnętrznych związanych z dostosowaniem do innych wymagań prawnych, technicznych?

PSO: Powiem w skrócie. Do tego są powoływane odpowiednie zespoły, które mają swoje kompetencje i uprawnienia, budżet, a wszystko nadzorowane przez departament PMO. Na bazie niniejszego projektu kilka słów więcej. Powołany jest do tego Project Manager, który ma swój zespół oraz doradców i  ekspertów, a nad nim komitet sterujący i sponsora.

A potem zgodnie z metodyką PM, inną w zależności od przedmiotu i zakresu – jest ich kilka. Tak też jest realizowany ten projekt. Zapomniałem, jest jeszcze uzasadnienie biznesowe na początku przed uruchomieniem projektu, bo nie każdy projekt warty jest podjęcia. Jeżeli w projekcie musi uczestniczyć doradca / ekspert zewnętrzny  to zwykle w ramach opcji interim (zatrudnienie czasowe, ale z pełnym dostępem do dokumentów, które potrzebuje), lub konsultant przywoływany do określonych działań, zawsze pod nadzorem osoby wewnątrz firmy, ale z ograniczonym dostępem do danych. Jego rola kończy się na wsparciu a nie tworzeniu czegokolwiek za nas, bo on nie zna tak dobrze naszej organizacji jak my. Projekt wdrożeniowy kończy się audytem wewnętrznym i to zamyka współpracę z doradcą. Gdy jest potrzebna ocena zewnętrzna – np. certyfikacja, proces wyboru oceniającego robimy sami. Inaczej mówiąc, to co Wy mówicie jako praktyka w Polsce, że konsultant, doradca wskazuje firmy oceniające, to z pkt widzenia ABMS jest konfliktem interesu.

DR: A jakie są kryteria wyboru firmy do oceny zewnętrznej – np. w odniesieniu do certyfikacji ABMS?

PSO: Ustalane są one interdyscyplinarnie zgodnie z procedurami. A dokładnie przede wszystkim:

• akredytacja przedmiotowa, np. w naszym przypadku ISO 37001, sprawdzana u źródła,
• kompetencje zespołu audytorskiego – chcemy wiedzieć kto do nas przyjedzie,
• referencje z projektów potwierdzone listami referencyjnymi, 1-3 przykłady,
• rejestracja certyfikatów na stronie IAFCertSearch.org, mimo że nie jest to wymaganie akredytacyjne,
• doświadczenie w prowadzeniu projektów certyfikacyjnych, assessment’ów – czas obecności na rynku związany z nimi,
• kondycja finansowa, w mniejszym stopniu warunki handlowe,
• artykuły w sieci sygnowane przez certyfikatora na temat zagadnień będących przedmiotem oceny czy też zawarte na jego stronie firmowej,
• opinia na rynku ale ta pozaformalna, od partnerów, klientów – nie OSINT, najlepiej wywiad gospodarczy.
• międzynarodowy charakter, jeżeli jest to uzasadnione planami rozszerzenia certyfikacji w przyszłości poza granicami kraju siedziby głównej.

Zwykle nie bacząc na SEO, bo to płatna zabawka Google’a bierzemy firmy z TOP 30 do frazy kluczowej dotyczącej przedmiotu usługi + ewentualne rekomendacje od partnerów biznesowych. I to one zakreślają pierwszy obszar poszukiwań. Potem przychodzi pierwszy kontakt, analiza zebranych dokumentów i zawężenie zwykle do maksimum 50% zidentyfikowanych firm. Kolejny etap to rozmowy, oferty i negocjacje. Czasami jest jeszcze jakaś dogrywka w wąskim gronie, ale rzadko. Nawet gdyby zawęzić zakres poszukiwań, to takie podejście znacząco ogranicza ryzyko decyzyjne wyboru niewłaściwego partnera certyfikacyjnego, oceniającego – jest to historycznie udowodnione.

W korporacji nie mamy certyfikowanego ABMS, gdyż rozwiązania nasze są znacznie bardziej rozbudowane w oparciu o model GRC. A tematyka ABMS jest pod kontrolą Departamentu Compliance i stanowi część jego kompetencji. Stosowanie ABMS jako kryterium ułatwia często sprawę oceny podmiotów zewnętrznych, ale honorujemy także systemy compliance nienormatywne, ale sprawdzalne. Służą do tego audyty klientowskie.

DR: W kilku przetargach w Polsce jako kryterium dla zespołu audytowego wskazano –  Przynajmniej jeden z audytorów powinien posiadać certyfikat kompetencji Audytora wiodącego wydany przez podmiot akredytowany w zakresie ISO/IEC 17024 w obszarze ISO 37001 na wskazanym poziomie, lub inny równoważny certyfikat kompetencji jak: CLFE, CLPI, CLSIM, COM. Dopuszcza się auditorów spełniających wymagania PKN-ISO/IEC TS 17021-9:2019-11 Część 9 jako faktycznego wymogu kompetencji dla auditorów wiodących dla ISO 37001. Jak to oceniasz?

PSO: Pierwsze zdanie jak najbardziej poprawne. Druga część przeczy pierwszej – masło maślane. Bo pierwsza część mówi o certyfikatach kompetencji a druga o tym, że audytor powinien umieć czytać i pisać. Nie ma w niej żadnych wymagań kompetencyjnych twardych, sprawdzonych, jest tylko deklaracja. Deklarować można wszystko. Ponadto druga część określa minimalne wymagania, a my nie chcemy audytorów o minimalnych wymaganiach, dlatego wskazane w pierwszym zdaniu certyfikaty są dobrym benchmarkiem dla audytorów. Dziwię się, bo inne systemy certyfikowane w zakresie kompetencji audytorskich wymagają m.in. certyfikatu ukończenia kursu audytora wiodącego. Czemu ma służyć ta śmieszna gimnastyka? Ktoś kto to pisał, nie rozumiał co pisze.

DR: A co gdy na rynku nie ma nikt takich kompetencji audytorskich w jednostce certyfikacyjnej? Czy jakieś inne certyfikaty mogą być zamiennie wskazane, np. LA ISO 37301, SMETA.

PSO: To nadszedł czas aby je uzupełnić. Jeżeli ktoś chce świadczyć takie usługi wygląda niepoważnie gdy kontestuje takie wymagania. Dzisiaj nie ma barier w edukacji. Można się kształcić online także w tym zakresie. LA ISO 37301 zapewne tak, bo ABMS jest jego częścią, ale nie znam takiego przypadku z autopsji i musiałbym znać stanowisko naszego Departamentu Compliance. SMETA – NIE, wyjaśnienie jest zbędne, jeżeli ktoś zna ten standard.

DR: Co było przesłanką wprowadzenia do tego projektu kryterium dotyczące kwestii antykorupcyjnych?

PSO: Od trzech lat wprowadzono w projektach ocenę partnerów biznesowych w łańcuchu dostaw pod tym kątem. Cały nasz Vendor List, jest już zweryfikowany. Due diligence w łańcuchu dostaw to wymaganie wprost art. 8.2. wymagania ISO 37001. Zobacz proszę w normie kiedy ma zastosowanie, a kiedy nie musi. U nas nie ma taryfy ulgowej, gdyż ryzyko korupcyjne związane z partnerami jest ocenione na poziomie nie mniejszym niż średnie, a w perspektywie reputacyjnej jako wysokie. Stąd moja decyzja przy omawianiu firm, które wykreśliłem….. Część firm o dużej wartości projektu, czy też których zadania leżą na ścieżce krytycznej, są obligatoryjnie objęte audytem on-site i szerszym niż tylko zagadnienia ABMS.

DR: A jak wypadliśmy na tle innych krajów?

PSO: Bez szczegółów – gorzej, co też obserwowaliśmy w trakcie tych 3 lat współpracy, pod różnym kątem. Kraje nadbałtyckie – nie ta skala, nie porównuję. Ale Rumunia i Bułgaria w swojej skali – certyfikaty akredytowane, czyli 100% strony formalnej. Rumunia przegoniła Polskę, bo mają już 8 firm w ramach Vendor List. Bułgaria dopiero 1,5 roku ale 3 firmy zaakceptowane.