ISO 9001:2008 i ostale potrebne norme

Uspostavljanje sustava za upravljanje kvalitetom (SUK) je u svakom slučaju vrlo zahtjevan i ozbiljan posao – projekt, ali samo u jednom slučaju: kada vlasnik firme i/ili top management žele imati stvarne koristi u svojoj organizaciji od uspostavljenog SUK-a. U svakom drugom slučaju je to „mačiji kašalj“, ali i efekti takve implementacije su na tom nivou. U okviru ovog teksta pozabavimo se samo varijantom da se želi uspostaviti kvalitetan – tu se misli koristan SUK.

Kako se stvar obično odvija. Netko u upravi shvati da je to dobro, ili je uprava „naterana“ od partnera da uvede SUK. Tada bi trebalo prvo na nivou uprave detaljno raspraviti i ispitati sve dobre i/ili loše strane takve odluke. Neka se i to napravi i svima je u top managementu jasno da je za njihov opstanak i bolji prosperitet na tržištu važno implementirati SUK. Slijedeći je korak u pravilu izbor konzultanta, jednog ili više koji bi trebali skratiti vrijeme i osigurati kvalitetniju implementaciju. E tu mogu, a vrlo često je to slučaj, nastaju problemi, jer ako se radi o javnim poduzećima glavnu riječ za nabavu roba i usluga je „Zakon o javnoj nabavi“ koji prvenstveno preferira najnižu cijenu ponude i ugovora. Kvaliteta usluge nije glavna u izboru partnera za konzalting. Slična situacija, mada nije obvezno, se javlja i u privatnim firmama gdje ne vrijedi taj zakon, ali vlasnik i top menadžment nekako u pravilu nastoje što jeftinije proći, pa čak i na svoju štetu, jer u većini slučajeva je konačni cilj dobijanje certifikata, a ne korist od uvođenja SUK-a. Prethodna analiza norme ISO 10019:2005 koja govori o izboru konzultanta spada u kategoriju SF.

Neka je i ta faza implementacije prošla. Netko se unutar organizacije određuje za voditelja projekta implementacije i stvar se počinje nekako odvijati, uz veće i manje stresove svih, od čistatčice, portira, ostalih zaposlenika, voditelja projekta, konzultanata, top menadžmenta i vlasnika. (Molim da mi čistačice i portiri oproste što sam njih posebno apostofirao, jer se nažalost obično smatra da oni nisu bitni za SUK).

Zašto su potrebni stresovi? Da li je moguće raditi bez stresa? Da li je moguće imati normalni postupak implementacije SUK u kojem bi se svi sudionici osjećali, ako ne ugodno, ali ono barem zadovoljni jer im je 100% jasno što i zašto to rade. Današnje vrijeme sa svom ovom dinamikom ne omogućava potpuno rad bez stresa, ali barem da se svede na minimum kada još ne izaziva traume i sukobe u organizaciji. Ja ovaj puta nemam namjeru stvar svoditi na obrazovanost i iskustvo voditelja projekta implementacije u organizaciji i konzultane. To se smatra pod „mus“ (ovo mus je iz kartaških igara, a ima smisao moraš). Želio bi stvar postaviti malo na drugi teren s pitanjem:

Koje se norme koriste za implementaciju SUK?

Čudno pitanje? DA! NE! Za mene je u svakom slučaju ne. Naime, svi se u organizaciji hvataju u glavnom samo za jednu normu, onu koja je nazivna za implementaciju odabranog sustava upravljanja. U našem slučaju, kako se radi o sustavu upravljanja kvalitetom naravno da je to norma ISO 9001:2008. Ako bi se radilo o upravljanju okolišem tada bi to bila ISO 14001:2004, o ISMS 27001:2005, itd.

E sada prvo podpitanje: dragi konzultanti imate li originalan primjerak norme, ali i gospodo u organizaciji imate li i vi originalan primjerak norme? Pod pojmom „Originalan“ se misli da ste ga kupili od nacionalne organizacije za norme (u Hrvatskoj je to HZN) ili neke međunarodne (npr. ISO, BSI, itd) – nije bitno. Nemate! Pa o čemu mi to govorimo. O piratiziranju. Vi gospodo konzultanti se predstavljate kao vrsni profesionalci, a piratizirate i ne poštujete pozitivne nacionalne zakone. Kakav sustav vi možete uvesti? Pa vaša svijest o legalnosti nije vrijedna pažnje. Isto to vrijedi i za vas gospodo u organizaciji. Ako su konzultanu ili nekoj organizaciji troškovi nabavke potrebnih normi veliki, onda niste u stanju zaraditi ni za čašu hladne vode, ili bolje rečeno daje vašu sliku odnosa prema projektu implementacije SUK-a. O stvarno minimalnim cijenama originalnih normi ne vrijedi ni govoriti. One se kreću obično u granicama od 40 – 100 Eura. Na ovom komentaru o originalnim normama neka mi oproste svi oni koji kupuju norme, nijh obvezno isključujem iz kruga kritike.

Zašto je važno imati stalno normu pred sobom. Kada konzultant nekom objašnjava treba se napraviti to i to, onda je jako dobro taj zahtjev pokazati u normi. A članovi tima da to u svom primjerku i stvarno vide. U protivnom, to prelazi u kategoriju vjerovanja: konzultant je rekao. Tu stvarno nema potrebe za vjerovanjem, jer se cijeli posao svodi na primjenu nečega što je zapisano u jednoj ili više normi.

Kako to sada najednom više normi? Pa zar se ne govori o normi ISO 9001 za SUK? 

Evo podpitanje za konzultante i voditelja projekta u organizaciji: Koliko raznih normi koristite za implementaciju SUK?

To je iz mog iskustva vrlo ozbiljno pitanje na koje mnogi konzultanti, a i oni koji su uveli SUK imaju zbunjene poglede i počinju mucati. A stvar i nije tako jednostavna kako bi se mislilo: uzmimo normu ISO 9001, zadovoljimo zahtjeve i uvedimo SUK. 

Ja tvrdim: efikasan SUK se nemože nikako uvesti samo uz pomoć norme ISO 9001:2008.

Te činjenice su davno bili svjesni u ISO organizaciji. Zato su objavili niz normi koje treba u većoj ili manjoj mjeri koristiti pri implementaciji SUK. Pogledajmo malo koje bi to bile norme:

• ISO 9001:2008Quality management systems – Requirements – glavna norma prema kojoj se vrši certifikacija SUK
• ISO 10001:2007 Quality management -- Customer satisfaction -- Guidelines for codes of conduct for organizations
• ISO 10002:2004 Quality management -- Customer satisfaction -- Guidelines for complaints handling in organizations
• ISO 10003:2007 Quality management -- Customer satisfaction -- Guidelines for dispute resolution external to organizations
• ISO 10019:2005 Guidelines for the selection of quality management system consultants and use of their services
• ISO 19011:2002 Guidelines for quality and/or environmental management systems auditing
• ISO/IEC 90003:2004 Software engineering -- Guidelines for the application of ISO 9001:2000 to computer software
• ISO 9004:200x, Managing for the sustained success of an organization - A quality management approach
• ISO 10005:2005, Quality management systems - Guidelines for quality plans  
• ISO 10006:2003, Quality management systems - Guidelines for quality management in projects  
• ISO 10007:2003, Quality management systems - Guidelines for configuration management  
• ISO 10012:2003, Requirements for measurement processes and measuring equipment  
• ISO/TR 10013:2001, Guidelines for quality management system documentation  
• ISO 10014:2006, Quality management - Guidelines for realizing financial and economic benefits  
• ISO/TR 10017:2003, Guidance on statistical techniques for ISO 9001:2000  
• IEC 60300-1:2003, Dependability management - Part 1: Dependability management systems 

Kada se pogleda ovaj skup normi koji bi bio potreban za implementaciju SUK djeluje zastrašujuće. Neke norme nije nužno svaki puta koristiti. Npr. ISO 90003 je samo za firme koje se bave razvojem softvera. One koje nemaju tu djelatnot naravno da im ta norma ništa ne znači. U pojedinim slučajevima bi se mogla iznaći još pokoja norma koja nije primjerena za neku djelatnost, ali raditi implementaciju SUK samo s jednom normom je u najmanju ruku neozbiljno.
  
Nemam namjeru prepričavati svaku normu i kakav značaj ima, jer se već iz naslova pojedine norme može vidjeti čemu služi. One nisu obvezne. Po nijednoj od njih se ništa ne certificira, ali detaljno upućuju i objašnjavaju kako se neki zahtjevi osnovne norme ISO 9001 mogu (trebaju) riješiti. U slučaju da se ne koriste dodatne norme imate situaciju kako mi se opet jedan od kolega požalio: neki dan me je maltretirao auditor na certificiranju toliko da sam poslje morao ići na bolovanje. Toliko je našao nesukladnosti da mi sve sve zavrtilo.

Pa zašto ga je “maltretirao”? Ja mislim da nije, a kako se i kasnije ispostavilo kad mi je pokazao te nesukladnosti. Kolega je imao “sreću” da je naletio na savjesnog i “potkovanog” auditora koji je tražio samo ono što piše u normama. Ni auditori nemaju pravo biti kreativci i izmišljati toplu vodu. Oni se smiju kretati samo u okviru normi. No, kako je moj kolega koristio samo osnovnu normu ISO 9001 sve je rješavao sa konzultantom po principu: ja mislim da bi to trebalo biti tako. 

Na kraju umjesto zaključka: ako imate implementirani SUK a koristite samo ISO 9001, razmislite o problemima koje rješavaju gore navedene norme i pokušajte sami sebi dati odgovor kakav je to vaš SUK. S druge strane ako se pripremate za implementaciju SUK, ili ste ju već započeli tražite od konzultanata ako ih koristite da vam pruže pomoć u skladu sa svim nužnim normama za vašu djelatnost.

ISO 9001:2008 i dokumentiranje sustava upravljanja

Svaki sustav upravljanja (SU) temeljen na ISO normama (ISO9001- QMS, ISO14001 - EMS, ISO20000 - ITSM, ISO22000 - FSMS, ISO27001 - ISMS, itd) između niza zahtjeva uvijek, obavezno, ima i slijedeći: uspostavljanje dokumentacije kojom se detaljno opisuje sustav upravljanja u svim fazama njegovog životnog ciklusa. Što to znači? Pa odgovor je vrlo jednostavan: nemoguće je uspostaviti i koristiti sustav upravljanja, a da on nije dokumentiran, odnosno, nedokumentirani sustav upravljanja NIJE sustav upravljanja. Tu se misli „nedokumentiran“ u smislu zahtjeva norme ISO 9001 plus eventualni dodatni zahtjevi neke specijalističke norme, kao npr. što se nalaze u ISO27001 (ISMS).

U praksi se često nepotrebno pojavljuju problemi vezani za dokumentaciju. To ide čak toliko daleko da se može čuti komentar ili stav da je ISO9001 sinonim za beskonačnu papirologiju. To ni u kom slučaju nije točno. Ako se u konkretnom slučaju uspostavljeni sustav za upravljanje kvalitetom (SUK) prema ISO9001 može pokazati kao besmislena papirologija, onda to nije posljedica norme, već besmislenosti implementacije u firmi i predstavlja sliku tima za implementaciju kao i njihove sposobnosti i iskustva za taj posao.

Koja su to pitanja na koja se mora dobiti odgovor kroz dokumentaciju sustava uptavljanja? Ona se mogu sažeti kroz slijedeće upite: što treba uraditi? zašto? kako? s čime? tko? kada? gdje? tko je odgovoran? kako dokazati da je urađeno sve prema planu? i td. Ta pitanja i inače predstavljaju uobičajenu problematiku u vođenju firmi, odnosno aktivnosti u njoj, bez obzira da li firma želi ili ne uvesti ISO 9001.  Norma ISO 9001 zbog toga i pokušava sistemtizirati te životne potrebe svake firme u zahtjeve koje se mora zadovoljiti ako se želi uspostaviti i certificirati SU.

Što kaže norma ISO 9001:2008 vezano za dokumentaciju?

U okviru zahtjeva na sustav upravljanja kvalitetom norme ISO 9001:2008, poglavlje 4.2 se odnosi na dokumentaciju. Tu se nalaze 4 podpoglavlja: općeniti zahtjevi za dokumentaciju, zahtjevi vezani za priručnik kvalitete, nadzor dokumenata i nadzor zapisa.

Za opće zahtjeve (4.2.1) se navodi da dokumentacija sustava upravljanja kvalitetom mora sadržavati: dokumentiranu izjavu o politici kvalitete i ciljevima kvalitete, priručnik kvalitete, dokumentirane postupke i zapise koje zahtijeva ova menunarodna norma, te dokumente, uključujući zapise, koje odredi organizacija za potrebne kako bi se zajamčilo učinkovito planiranje, izvršenje i nadzor tih procesa. Pri tome se pod pojmom “dokumentirani postupak” smatra da je taj postupak uspostavljen, dokumentiran, primijenjen i održavan. Pojedini dokumenti koji se nalaze u sklopu dokumentacije može upućivati na zahtjeve za jedan ili više postupaka. S druge strane zahtjev za dokumentirani postupak može se podržati s više dokumenata. Za opsežnost dokumentacije koja se koristi u sustavu upravljanja kvalitetom važno je reći da se dozvoljava (preporučava) razlika od jedne do druge organizacije. Razlozi zašto dokumentacija SUK u raznim organizacijama može biti više ili manje opsežna su: veličine organizacije, vrsta djelatnosti, složenost procesa i njihovi uzajamni odnosi, te kompetentnost osoblja. U okviru te točke norme se eksplicitno navodi da dokumentacija može biti u bilo kojemu obliku ili na bilo kojoj vrsti medija. To znači da dokumentacija SUK može biti u papirnom, elektroničkom, ili kombiniranom obliku. Ovaj posljednji način kada je dokumentacija malo u elektroničkom, a malo u papirnatom obliku treba izbjegavati kad je god to moguće jer se izuzetno komplicira upravljanje s njom.

Jedan od osnovnih dokumenata koji MORA biti napravljen u SUK je „Priručnik kvalitete“ (4.2.2) u kojeg se mora uključiti: područje primjene sustava upravljanja kvalitetom (Scope), uključujući pojedinosti i obrazloženje o svakom izostavljenom segmentu organizacije, dokumentirane postupke uspostavljene za sustav upravljanja kvalitetom ili upućivanje na njih, te opis međudjelovanja procesa sustava upravljanja kvalitetom.

Nadzor dokumenata (4.2.3) govori o obvezi nadziranja dokumentacije koja se koristu u okviru SUK. U kontekstu toga se mora uspostaviti dokumentirani postupak koji definira nadzor dokumentacije potreban za: odobravanje primjerenosti dokumenata prije objavljivanja, pregled i ažuriranje kada je potrebno i ponovno odobravanje dokumenata, osiguravanje označavanja izmjena i statusa trenutne verzije dokumenata, osiguravanje dostupnosti odgovarajućeg izdanja dokumenata na mjestu uporabe, osiguravanje trajne čitljivosti dokumenata i njihovo brzo prepoznavanje, osiguravanje da se dokumenti vanjskog podrijetla za koje je utvrneno da su potrebni organizaciji za planiranje i provedbu sustava upravljanja kvalitetom označuju i da je nadzirana njihova raspodjela, sprečavanje nehotične primjene zastarjelih dokumenata te njihovo primjereno označavanje, ako se iz bilo kojeg razloga čuvaju.

U okviru nadzora zapisa (4.2.4), a koji predstavljaju posebnu vrstu SUK dokumenata, navodi se da zapise koji se uspostavljaju kako bi se osigurali dokazi sukladnosti sa zahtjevima i učinkovita provedba SUK mora se nadzirati pomoću postupka koje uspostavlja organizacija. Tim postupkom se određuje oblici nadzora potrebni za označavanje, pohranu, zaštitu, pronalaženje, vrijeme čuvanja i dostupnost zapisa. Zapisi moraju ostati čitljivi, lako prepoznatljivi i obnovljivi. Rokovi za čuvanje zapisa, ako nije zakonom drugačije regulirano moraju se čuvati najmanje jedan certifikacijski ciklus, odnosno da se na recertifikaciji mogu prezentirati auditoru. Taj rok čuvanja nije eksplicitni zahtjev norme, ali je jedino opravdan po prirodi stvari.

Kao što se vidi, kolika će biti stvarno opsežna dokumenatcija, koliko detaljna, u normi ISO 9001:2008 se ništa ne govori. To je ostavljeno na volju organizacija da u skladu sa svojim objektivnim potrebama procjeni. Ono što norma traži je da se mogu dokazati ove četiri grupe zahtjeva vezano za dokumentaciju.

Po tom pitanju je praksa jako različita od slučaja do slučaja, odnosno od organizacije do organizacije. Ja sam duboko uvjeren da je ključni problem vezan za dokumentaciju SU u tome što ju planiraju, organiziraju i uspostavljaju menadžeri kvalitete i konzultanti koji nisu dovoljno obrazovani ili nemaju dovoljno iskustva. Zbog te svoje limitiranosti nisu u stanju sagledati realnu potrebu za dokumentacijom pa se dobiva ili nedovoljna ili preobimna dokumentacija za SU.

Da li je to specifičnost samo norme ISO9001:2008 kojom se uspostavlja SUK? Naravno da nije. Ista je situacija i s drugim normama ISO14001, ISO27001, ISO22000, ISO20000, itd. Evo primjera za ISMS. Prema normi ISO27001 u poglavlju 4.3 se definiraju zahtjevi vezani za dokumentaciju ISMS. Tu su tri podpoglavlja: općenito (4.3.1), kontrola dokumenata (4.3.2), te kontrola zapisa (4.3.3). Za razliku od zahtjeva za dokumentaciju SUK, u ISO 27001 se posebno ne govori o „Priručniku ISMS“ jer je taj zahtjev implicitno zadan u točki 4.3.1. I u ovom slučaju za ISMS, kada se govori o obimnosti i kvaliteti dokumentacije onda je to isključivo slika menadžera i konzultanata, a ne norme.

Ukupne obveze koje se mora ispuniti u smislu dokumentacije u svim ISO normama napisane su na ½ do 1 stranice u tekstu norme.

Kad je u pitanju dokumentacija za SUK, ali i bilo koji drugi sustav upravljanja temeljen na ISO normama, evidentna je činjenica: norma govori što se mora napraviti, a kako to stvarno odraditi je stvar menadžera koji implementiraju sustav. U svim ISO normama se ne nalazi ništa o tome kako napraviti dokumentaciju.

Za izradu dokumentacije vrlo korisne su i norme „ISO9000:2005, Quality management systems - Fundamentals and vocabulary” i “ISO/TR 10013:2001, Guidelines for quality management system documentation”.

Struktura dokumentacije

Za svaki SUK dokumentacija sukladno zahtjevima treba biti strukturirana. Ta se struktura ogleda kroz piramidalan oblik nadređenosti, odnosno podređenosti dokumenata. Primjer je prikazan na slici 1.

 Slika 1. Struktura dokumentacije SUK

Sa slike je vidljivo da se osnovna struktura dokumentacije može prikazati kroz četiri razine. Takva struktura nije eksplicitno definirana normom ISO 9001:2008, ali proizilazi iz zahtjeva i  prakse.

Na samom vrhu piranide dokumentacije u okviru SUK se nalazi politika kvalitete i pripadni priručnik kvalitete. Ključni zadatak tog dijela dokumentacije je da pruži odgovor  kako se uprava i cijela organizacija odnosi prema SUK i njegovim elementima.

Na drugoj razini se nalazi dokumentacija s opisima svih poslovnih procesa, odnosno procedura. U okviru tog dijela dokumentacije se definita što i tko treba uraditi u organizaciji u smislu postizanja određenog poslovnog cilja. Tu se posebno traži definiranje vlasnika poslovnih procesa, te suodgovornih za realizacija procesa.

Treća razina su radne upute kojima se definira način obavljanja jedne ili više procesnih aktivnosti. To znači, taj dio dokumentacije govori o tome kako se trebaju obaviti aktivnosti.

Četvrta razina su zapisi, odnosno evidancija o tome kako su obavljane aktivnosti, te postignuti rezultati u procedurama uz pomoć radnih uputa. Ovi zapisi su presudni da se tijekom internog ili recertifikacijskog audita dokaže koliko organizacija radi sukladno dokumentaciji SUK koju si je sama organizacija propisala.

Ovakva struktura dokumentacije može imati modifikacije i to u okviru 2 i 3 razine. Naime ako su neke aktivnosti toliko jednostavne i propisane u smislu nekog postupka, nije potrebno definirati proces, odnosno proceduru, jer se te aktivnosti u pravilu i ne mogu poboljšati. U tom slučaju za tu radnu uputu treba definirati ogovornosti za provođenje. Može i drugi način sažimanja razina 2 i 3. Ako je procedura toliko jednostavna, odnosno jasna, da nisu potrebne radne upute, onda je besmisleno stvarati ih na silu. Dovoljna je samo procedura koja onda definira i sve zapise. 

Kada se govori o dokumentaciji, tada se često puta dolazi u dilemu što proglasiti tajnom. Naime, sigurno postoji u svakoj organizaciji dio poslovanja koji predstavlja poslovnu ili ugovornu tajnu u odnosu na jednog ili više partnera. To znači da dokumentacija SUK također u pravilu ima opise nekih poslovnih tajni (npr. recapture, sastavnice, tehnologije neke izrade,  itd). U tom smislu postavlja se pred tim za implementaciju SUK-a ozbiljno pitanje: kako datu strukturu uskladiti s potrebnim stupnjem tajnosti u organizaciji? Odgovor na to pitanje nije eksplicitan, ali se može dati načelni odgovor.

Razina 1 dokumentacije SUK nikako nebi trebala sadržavati poslovne tajne. To je dio dokumentacije koji se pokazuje i publicira javno. Neki dijelovi (npr. Priručnik kvalitete) se ne objavljuje javno zbog obima, ali se mogu i trebaju davati na uvid poslovnim partnerima. Razina 2dokumentacije SUK, procedure, najčešće nisu neka posebna tajna. Možda neke od njih sadržavaju poslovne tajne, ali trebalo bi nastojati da ne budu uključene. Treća razina, radne upute, vrlo često sadržavaju poslovne tajne, kao npr. sastavnice, receprure, IP adrese, postupke pristupa, evidencije nekih tajnih kodova, itd. Takve upute su obvezno tajne. Zapisi također vrlo često sadrže poslovne tajne ili informacije o načinu funkcionira pojedinih segmenata sustava kvalitete. 

Zbog tih razloga, mada to norma ISO 9001:2008 eksplicitno ne definira kao zahtjev, ali u skladu s nacionalnom i strukovnom legislativom, te unutarnjim pravilima rada organizacije nužno je uvesti i klasifikaciju dokumentacije. Za neke organizacije, najčešće vladine i njihove partnere postoje zakoni koji ih obvezuju na klasifikaciju dokumentacije, ali i definiraju kakvu klasifikaciju moraju provesti. Zbog toga je dobro na svakom dokumentu navesti stupanj klasifikacije jer on određuje i način postupanja s dokumentom. Tu se može pojaviti problem s auditorima koji imaju pravo na uvid SVAKOG dokumenta koji je dio SUK. No, auditori nemaju ingerenciju na sadržaj dokumenta u stručnom smislu poslovanja. Zbog toga ako neki auditor traži zapis ili neki drugi dokument koji je klasificiran kao poslovna tajna može mu se predočiti dokument  sa zabojanim tajnim dijelovima teksta. 

Zaključak

U skladu s normom ISO 9001:2008 potpuno je jasno da dokumentacija predstavlja jedan od ključnih zahtjeva prema uspostavi, održavanju i poboljšanju SUK. To je beskompromisni zahtjev. No, u normi se govori samo što treba biti u okviru dokumentacije SUK, ali kako i koliko je stvar onih koji implementiraju sustav.

ISO 31000 - Upravljanje rizicima

Međunarodna organizacija za normizaciju ISO izdaje normu ISO 31000 Upravljanje rizicima - načela i smjernice o primjeni (Risk Management - Principles and Guidelines on Implementation). Trenutno je u statusu FDIS, a konačna verzija se očekuje tijekom 2009. god. Treba odmah napomenuti da ova norma nije predviđena za certifikaciju. To znači da se prema njoj nemože vršiti certificiranje organizacija koje ju primjenjuju. To proizilazi iz činjenice da se u njoj ne nalaze nikakvi zahtjevi koje se MORA primjeniti za uspostavu sustava upravljanja rizicima, u ostalom kako i sam naziv norme govori.

Mada je ta norma u biti direktno proistekla iz nacionalne norme AS/NZ4360:2004, mnogo je uzbuđenja oko izlaska norme ISO 31000. Razlog je što ona donosi globalni koncenzus sadržan na 20-tak stranica teksta. Uključeni su u biti svi oblici rizika, kao npr. financijski, sigurnosni, zdravlje, okoliš, itd. Prema normi, rizik nije uvijek negativan – s negativnim posljedicama, nego se rizik promatra kao "efekt nesigurnosti u postizanju planiranih ciljeva."

Proces upravljanja rizicima

Norma ISO 31000 za upravljanje rizikom u biti predlaže i definira proces za upravljanje rizicima, a osnovna struktura procesa je prikana na slici. Taj proces je kompatibilan sa EHS (Environmental Health and Safety). Na primjer, definicija za higijenu rada iz American Industrial Hygiene Association (AIHA) uključuje "predviđanje, prepoznavanje, vrednovanje i kontrolu" od opasnosti okoliša koji mogu imati posljedice za zaposlenike. Iako se riječi koje koriste AIHA i ISO mogu razlikovati, njihov smisao ostaje isti. Na primjer, "obrada" prema ISO je ekvivalent 'kontrola' kod AIHA. Norma ISO 31000 je takođe potpuno sukladna i s normom ISO 27005:2008 koja je namijenjena za upravljanje rizicima u području informacijske sigurnosti (ISMS). Blok shema procesa za upravljanje rizicima kako se predlaže u normi ISO 31000 prikazana je na slici 1.

 Slika 1. Proces upravljanja rizicima prema ISO 31000

Osnovni opis elemenata procesa za upravljanje rizicima prema slici 1 su:

Komunikacija i konzultacija: Komunikacija i konzultacija s internim i eksternim ulagačima – zainteresiranim stranama, kako je primjereno (tehnološki), na svakom stupnju procesa upravljanja rizikom i razmatranje procesa kao cjeline.

Utvrđivanje konteksta:  Utvrđivanje eksternog, internog i konteksta upravljanja rizikom u kojem će se odvijati ostatak procesa. Treba utvrditi kriterije prema kojima će se procjenjivati rizik i definirati struktura analize.

Identifikacija rizika: Identifikacija gdje, kada, zašto i kako bi događaji mogli spriječiti, umanjiti, odložiti ili povećati postizanje ciljeva.

Analiza rizika: Identifikacija i procjena postojećih kontrola. Određivanje posljedica i vjerojatnosti i zatim razine rizika. Ova analiza treba razmotriti područje potencijalnih posljedica i kako bi se one mogle pojaviti.

Procjena rizika: Usporedba procijenjenih razina rizika s prethodno utvrđenim kriterijima i razmatranje ravnoteže između potencijalnih koristi i nepovoljnih rezultata. To omogućuje donošenje odluka o opsegu i prirodi potrebnih obrada i o prioritetima.

Obrada rizika: Izrada i primjena specifičnih troškovno učinkovitih strategija i akcijskih planova za povećanje potencijalnih koristi i smanjenje potencijalnih troškova.

Praćenje i preispitivanje: Neophodno je pratiti učinkovitost svih koraka procesa upravljanja rizikom. To je važno za neprekidno poboljšavanje. Potrebno je pratiti rizike i učinkovitost mjera obrade kako bi se osiguralo da promjena uvjeta ne mijenja prioritete.

 

Kao i s ostalim ISO normama, prvi će primjenu ove norme napraviti napredne organizacije, posebno one koje prema prirodi posla rade u uvjetima povećanog rizika obavljanja svojih aktivnosti. Takve organizacije su i do sada koristile na neki način barem neki oblik procjene rizika. Uz pomoć ove norme se dobiva kompletno okruženje za proces upravljanja rizicima i realna osnova za kontinuirano poboljšanje uvjeta rada organizacije u smislu nesigurnosti. ISO 31000 navodi da je upravljanje rizicima treba (čitaj MORA) sadržavati sljedeće principe:

1. učešće u stvaranju viška vrijednosti vrijednosti,
2. sastavni dio ostalih poslovnih procesa procesa,
3. učešće u donošenja odluka,
4. izričito adresira nesigurnosti;
5. sustavnost, strukturiranost i pravovremenost,
6. organizira i provodi na temelju najbolje dostupne informacije,
7. prilagođen potrebama organizacije i djelatnosti gdje se koristi
8. uzimanje ljudskih i kulturnih elemenata u obzir,
9. transparentnost i inkluzivnost
10. dinamičnost, iterativnost i odgovore na promjene, i,
11. omogućavanje stalnog unapređenja i poboljšanja organizacije.

 

U koliko cjelokupni sustav upravljanja rizicima eksplicitno ne podržava navedene principe, onda on nema svrhe i koristi za organizaciju.

Okvir upravljanja rizicima

Okvir za upravljanje rizikom prema ISO 31000 je jednostavan. Jednom kada su uspostavljene metodologija i obveze stvara se petlja koja uključuje:

1. dizajn okvira,
2. provođenje upravljanja rizikom,
3. nadzor i pregled okvira, i
4. stalno poboljšanje okvira.

Ovo direktno upućuje na PDCA krug za upravljanje poslovnim procesima kako je navedeno u temeljnoj normi za upravljanje sustavima kvalitete ISO9001.

Treba li koristiti ISO 31000?

U svakoj organizaciji postoji niz profesionalnih ciljeva. Nesigurnosti koje mogu utjecati na realizaciju tih ciljeva imaju svoje rizike. Treba imati na umu: "Neiskorištenje poslovnih prilika"  je rizik koji se prema ISO 31000 također treba identificirati. Zato treba stalno postavljati pitanje: postoje li pojedinačne mogućnosti koje niste identificirali, analizirali i vrednovali?

Često puta se dešava da poslodavac ne osjeća potrebu za primjenom, ili sporo uvodi, načela i smjernice potrebne za provedbu upravljanja rizikom u skladu s ISO 31000. To je realnost. Međutim, ne znači da ne koristi neke pojedinačne elemente upravljanja rizicima za planiranje i provođenje svoji poslovnih ciljeva. Ako se pročita ISO 31000 s ovim na umu, postaje lakše shvatiti njegovu primjenu i vrijednost.

 

Neke od prednosti primjene upravljanja rizicima se mogu opisati kroz slijedeće efekte: poboljšava se ugled, bolja strateška svijest, definiranje vlasništva nad rizičnom imovinom, manja nepovoljna medijska pokrivenost, bolja kontrola utjecaja promjene, pomoć pri promjeni poslovne kulture, viši nivo transparentnosti odluka, omogućuje se bolje poslovno planiranje, olakšava se analiza osjetljivosti, bolja korporativna svijest, bolji prijenos informacija, izbjegavanje zbunjujućih sustavnih grešaka, poboljšava se razumijevanje ranjivosti, povećavanje šansi da će se ciljevi ostvariti, formalna dokumentacija rizika, bolje upravljanje financijskim rizikom, smanjivanje nadzora, poboljšava se poštenost, redoviti pregled i monitoring, poboljšana sigurnost, poboljšava se pružanje usluga, bolje projektiranje, manje birokracije, smanjuju se iznenađenja, bolje planiranje kontinuiteta poslovanja, minimizacija troškova osiguranja, itd.

 

No, razmatranje prednosti nebi imalo smisla ako to nije moguće na neki način mjeriti. Evo nekoliko primjera kako se mjerenjem može iskazati prednost upravljanja rizicima:  manje otpada, štednja na osiguranju, smanjenje potraživanja i ostalih (neplaniranih) troškova, smanjenje troškove vanjske revizije, realizacija projekata uz zadovoljavanje cilja – manje penala i troškova, smanjenje pritužbi, manje izostajanje, smanjenje stresa, bolji ugovor o cijenama i sl., bolje anketa o zadovoljstvu, manje nepovoljnih novinskih članaka, bolje potkrepljena korporacijska izjava o upravljanju, smanjenje prijevara, poboljšanje korporativne politike, manje katastrofa i iznenađenja, smanjenje troškova u nepredviđena sredstva, bolje generiranje prihoda, bolje upravljanje projektom, itd.

Zaključak

Iz gore navedenog može se lako zaključiti da upravljanje rizicima predstavlja izuzetno važan dio u cjelokupnom upravljanju organizacijom i njenim aktivnostima. Praktički ne postoji ni jedna organizacija koja ne koristi u nekom obliku procjene rizika, mada često puta nisu ni svjesne toga. ISO 31000 pruža mogućnost da se definira princip upravljanja rizicima, odnosno poslovni proces za to sa svim elementima sustavnosti i dokumentiranosti. Izuzetna vrijednost norme ISO 31000 je u tome da ona predstavlja u biti sveopći koncenzus u svijetu u smislu primjenljivoti. Niz godina već se praktički ta norma primjenjivala u ogromnom broju, ali kroz formu nacionalne norme AS/NZ 4360:2004. Pored toga, norma ISO 31000 je harmonizirana s ostalim ISO normama, kao što su npr. ISO 9001, ISO 14001, ISO 27001, ISO 20000, ISO 22000, itd. To samo znači da pruža relativno jednostavnu mogućnost integracije u IMS (Integrated Management System).

ISO 9001:2008 nema novih zahtjeva - obmana ili istina?

Pogledajte ovaj tekst:
Novo izdanje norme ISO 9001:2008 «Sustavi upravljanja kvalitetom» stupilo je na snagu 14.11.2008.
Na web stranici ISO organizacije (www.iso.org) nalaze se usuglašene informacije IAF (International Accreditation Forum) i ISO (International Organization for Standardization) o prijelazu na novu normu, o čemu dajemo kratke informacije.
Norma za sustave upravljanja kvalitetom ISO 9001 jedna je od široko korištenih norma u svijetu i prema verziji od 2000. godine u 170 zemalja svijeta certificirano je oko milijun proizvodnih i uslužnih organizacija.
Svakih nekoliko godina u okviru ISO organizacije razmatra se i po potrebi revidira svaka važeća norma, pa je i norma ISO 9001 iz 2000. godine doživjela novo izdanje.
Najvažnije informacije su:
1. ISO 9001:2008 ne sadrži nikakve nove zahtjeve.
2. Norma daje pojašnjenja postojećih zahtjeva norme iz ISO 9001:2000 temeljena na osmogodišnjem iskustvu uvođenja norme širom svijeta.
3. Norma zadržava procesni pristup koji definira kao «primjenu sustava procesa u organizaciji, njihovo određivanje (definiranje), međusobno djelovanje i upravljanje zbog postizanja željenog rezultata».
4. Pojašnjenja se odnose na precizniju obavezu definiranja, mjerenja i analiziranja svih procesa, potpunog upravljanja djelatnostima koje su prenesene na dobavljače (outsourcing), obavezu imenovanja predstavnika uprave organizacije zaduženoga za sustav upravljanja kvalitetom, obavezu ocjenjivanja učinkovitosti otklanjanja nesukladnosti, preventivnih i korektivnih radnji.
5. Sve akreditirane certifikacijske organizacije dužne su provoditi nove certifikacijske audite, kao i recertifikacijske audite u skladu s novom normom iz 2008. godine. Tijekom redovitih nadzornih audita provjeravat  će se usklađenost s novom normom o čemu će se izdati i novi certifikati.
6. 24 mjeseca nakon izdanja ISO 9001:2008 postojeći certifikati izdani prema normi ISO 9001:2000 neće vrijediti.

Znate li što predstavlja ovaj tekst? Ne znate? To je uobičajeni dio dopisa kojeg su slale certifikacijske kuće svojim partnerima kojima su izvršile certifikaciju, a po pravilu rade i recertifikaciju. Tim dopisom certifikacijske kuće obavještavaju svoje partnere da praktički u novoj reviziji norme ISO 9001:2008 nema ništa novo - odnosno nema novih zahtjeva u odnosu na reviziju ISO 9001:2000. Osobno sam sretao takve izjave i u Austriji, ali i nekim drugim državama. Želio bi u ovom tekstu malo analizirati s jedne strane ovakav dopis i sadržaj teksta u njemu, a s druge strane stvarno značenje u trenutno važećoj reviziji norme. Kako ima mnogo detalja u novoj reviziji norme ISO 9001:2008 s kojima se može ozbiljno dovesti u pitanje kompetentnost gornjeg dopisa, ovaj put bi pozornost usmjerio samo na jedan detalj, a to procjena rizika o čemu se može čuti svašta.

No, počnimo od jednostavnih pitanja ili činjenica. Prvo, konstatirajmo da se sadržaj norme ISO 9001:2008 u svojoj cjelini odnosi na niz zahtjeva koje se mora ispuniti ako se želi certifikat za sustav upravljanja kvalitetom. Osnovna značajka ove norme je da se u njoj zahtjevi označavaju s riječi "MORA", odnosno svaki navedeni zahtjev firma MORA provesti tijekom implementacije. Pored riječi "MORA" često puta se koristi i riječ "TREBA". Npr. "Organizacija TREBA provesti..." Pitanje: da li "TREBA" znači isto što i "MORA"? Tu se mnogi auditori ne slažu u potpunosti i neki su skloni da zahtjeve koji su povezani s riječi "TREBA" jednostavno ignoriraju. Slažem se da je ISO organizacija tu napravila medveđu uslugu s određenom nepreciznošću, ali u primjeru s rizicima ću objasniti kako to baš i nije nejasno, te da praktički "TREBA" i "MORA" znači u nizu slučajeva isto - zahtjev kojega se mora ispuniti. Osobno moje mišljenje je da niz auditora (ali i konzultanata) bježi od zahtjeva koji su opisani s "TREBA" jer su ti zahtjevi u pravilu izuzetno stručni i traže specijalistička znanja, a oni ih nemaju dovoljno ili nemaju u opće. Pa zašto "čeprkati" po nećemu što se nezna? Lakše je to preskočiti i objašnjavati kako to nije bitno. S druge strane sinhronizirani rad konzultanata i certifikacijskih kuća nije ništa novo niti izmišljotina naših prostora.

Vratimo se na gornji tekst dopisa certifikacijskih kuća. Tamo stoji: "ISO 9001:2008 NE SADRŽI nikakve nove zahtjeve". No malo dalje stoji: "Pojašnjenja se odnose na precizniju OBAVEZU definiranja, mjerenja i analiziranja svih procesa, potpunog upravljanja djelatnostima koje su prenesene na dobavljače (outsourcing), obavezu imenovanja predstavnika uprave organizacije zaduženoga za sustav upravljanja kvalitetom, obavezu ocjenjivanja učinkovitosti otklanjanja nesukladnosti, preventivnih i korektivnih radnji.". Da li je to jezična ekvilibristika ili je to kontradikcija? Nema novih zahtjeva, a onda odjednom obaveza preciznog definiranja niza elemenata koji u prethodnoj reviziji iz 2000 godine nisu postojali ili su samo formalno navedeni. Prema ovom tekstu (a to je sukladno s tekstom norme) auditor treba provjeriti detaljno mapiranje procesa, mjerenje procesa, outsoucing rješenja, razna ocjenjivanja, itd. To se ranije nije trebalo raditi. Pa zar to nisu novi zahtjevi koji se postavljaju pred menadžere sustava upravljanja kvalitetom? Kako to uraditi? To je za sada za većinu konzultanata i auditora nerješiv problem i tabu tema. Njima apsolutno ide u prilog tekst gornjeg dopisa. No koliko je to daleko od potreba stvarnog sustava upravljanja kvalitetom sasvim je drugo pitanje.

Ako pogledate tekst  "Zahtjevi nove norme ISO 9001:2008 – kozmetika ili panika" objavljen na portalu vezan za novosti norme ISO 9001:2008 moći ćete naći ih niz koje ni u kom slučaju nisu zanemarive.

Ja ću se referirati ovog trenutka samo na jedan detalj. To je pitanje rizika i procjene rizika - odnosno bolje rečeno upravljanja rizicima. Treba li vršiti procjenu rizika i upravljati s rizicima u okviru implemenatcije sustava upravljanja kvalitetom? Pogledajmo što o tome piše u normi ISO 9001:2008

Uvod
0.1 Općenito
Uvođenje sustava upravljanja kvalitetom treba biti strateška odluka organizacije. Na oblikovanje i primjenu sustava upravljanja kvalitetom organizacije utječu:
a) okruženje organizacije, promjene u tom okruženju i rizici koji se odnose na to okruženje, ...

Prvi puta se u svezi sa sustavima upravljanja kvalitetom spominju OKRUŽENJE i RIZICI - kao pojam u okviru norme ISO 9001. Pogledajmo s točke gledišta auditora ovaj mali citat iz norme. Smije li auditor pitati i tražiti dokaz tijekom certifikacije ili recertifikacije? Pa naravno da smije. Može li auditor prihvatiti implementaciju sustava kvalitete i predložiti dodjelu certifikata ako organizacija prilikom implementacije nije vodila računa o okruženju i pripadnim rizicima? Pa ako auditore podijelimo na savjesne i one druge, onda savjesni auditori ne mogu propustiti certifikaciju a da ovo pitanje nije riješeno. Zašto? Pa firma koja ima sustav upravljanja kvalitetom, a nema pojma o potecijalnim opasnostima koje mogu ugroziti njeno poslovanje tu svoju nesigurnost prenosi na poslovne partnere kojima služi kao dobavljač proizvoda i/ili usluga. Da li će to kupci mirno gledati? Možda se niz kupaca trenutno tako ponaša, ali sutra, kada se malo i oni osvijeste, obrazuju i shvate ozbiljnost svoje sigurnosti koja je velikim dijelom ovisna o sigurnosti dobavljača, što će biti?

Da bi to malo bolje objasnili vratimo se na početak priče o kvaliteti. Čemu služi certifikat? To je dokaz kojim se potvrđuje da je organizacija ispunila sve zahtjeve definirane u normi ISO 9001, ali uzimajući u obzir uvjete i okruženje u kojima organizacija funkcionira. Uz to, certifikat znači da sustav upravljanja kvalitetom vodi brigu o rizicima poslovanja, te na taj način daje partnerima signal: "mi smo ne samo kvalitetni kako piše u politici kvalitete, već i stabilni i pouzdani u budućnosti jer brinemo o svim prijetnjama koje mogu ugroziti naše poslovanje. Dokaz za to možete vidjeti u našoj dokumentaciji gdje je to sve dokumentirano". To daje sliku svim potencijalnim partnerima da ste pouzdani za suradnju. Kome to nije bitno? Ako se ne slažete s ovim, dalje nije potrebno da gubite vrijeme s čitanjem ovog teksta.

Sada se dolazi do pitanja kako dokumentirati okruženje (vanjsko i unutrašnje) koje utiče na poslovanje organizacije, kako uključiti i kakve procjene rizika raditi? Vrlo teška pitanja, odnosno pitanja koja od menažera, konzultanata i auditora traže nova znanja i iskustva. Taj problem će trebati riješiti. Kod pitanja okruženja trebat će raditi analize i smisliti dokumentacijsku formu kojom će se dokazivati audotorima uključenost tih zavisnih uticaja na uspostavljeni sustav upravljanja kvalitetom. Kada je u pitanju procjena rizika, stvar je za nijansu lakša, barem na prvi pogled. Tu se neće moći ništa uraditi bez norme ISO 31000, koja je u trenutku pisanja ovog teksta u statusu FDIS. No, kada se zagrebe malo površina problema upravljanja rizicima otvaraju se novi problemi: upravljanje incidentima i prekidom poslovanja, odnosno zakonskom obvezom brige o kontinuitetu poslovanja.

Osnovni smisao uvođenja pojma rizika u normu ISO 9001:2008 je osiguranje stabilnosti organizacije i dugoročnosti zadovoljavanja potreba svih zainteresiranih strana posebno u uvjetima nesigurnog poslovnog okruženja.

Postoji li u normi ISO 9001:2008 još negdje veza i obveza upravljanja rizicima? Pogledajmo neke mjesta u normi (nisu sva):

4 Sustav upravljanja kvalitetom
4.1 Opći zahtjevi
...
Organizacija mora:
...
c) odrediti kriterije i metode potrebne kako bi se zajamčilo da i odvijanje i nadzor tih procesa budu učinkoviti

7.3.4 Preispitivanje projektiranja i razvoja
U primjerenim fazama se moraju provesti sustavno preispitivanje projektiranja i razvoja u skladu s planiranim rješenjima (vidjeti 7.3.1) kako bi se:
...
b) utvrdili mogući problemi i predložile potrebne radnje.

8.3 Nadzor nesukladnog proizvoda
Gdje je primjereno, organizacija mora se baviti nesukladnim proizvodom na jedan ili više od sljedećih načina:
...
d) poduzimanjem radnji primjenjivih na učinke, ili moguće učinke na nesukladnost kad je nesukladan proizvod otkriven nakon isporuke ili početka primjene.

To su samo neke ilustracije koje direktno upućuju na nužnost procjene rizika. Ima ih u normi još. Objasnimo ih malo detaljnije: određivanje kriterija i metoda kojima se jamči odvijanje i nadzor da poslovni procesi budu učinkoviti može se optimalno riješiti jedino procjenom i obradom rizika. Kod preispitivanja projektiranja i razvoja utvrđivanje mogućih problema i predlaganje protumjera je dio procjene rizika, ili otkrivanje mogućih učinaka nesukladnosti također predstavlja dio procesa upravljanja rizicima. Ali primjetite, to su sve elementi zahtjeva koje se MORA ispuniti. Slaganje scenarija prema kojima može doći do pojave problema, analiza prijetnji, ranjivosti, te intenziteta posljedica, sve je to dio procesa upravljanja rizicima.

Nameće se uopćeno pitanje vezano za ISO 9001:2008 - na čemu vršiti procjenu rizika? Kako je cilj stabilne organizacije da će u datim uvjetima obavljati svoju viziju, misiju i politiku onako kako je to deklarirano u dokumentima firme stvar je malo jasnija. Naime, ISO 9001 (i prethodna i tekuća revizija) nameće obvezu upravljanja svim aktivnostima firme kroz upravljanje procesima i to ili procesnim pristupom ili PDCA krugom. To znači da su poslovni procesi objekti nad kojima prvenstveno treba vršiti upravljanje rizicima. U nekoj firmi ima više poslovnih procesa (u pravilu najmanje 9: i to 6 koji pripadaju menadžeru sustava kvalitete prema normi ISO 9001, barem jedan glavni poslovni proces (Core) - kojim se zarađuje novac, barem jedan proces podrške, te barem jedan proces upravljanja firmom). Da li se treba na svim identificiranim procesima vršiti procjena rizika? Teoretski i praktički da. No, postoji logički redosljed prioriteta i značaja procesa nad kojima treba vršiti upravljanje rizicima: prvu prioritetnu grupu procesa čine glavni poslovni procesi, zatim procesi podrške, procesi upravljanja, te na kraju menadžerskih 6 procesa (procedura).

Ako se ne gledaju druge nove implicitne ili eksplicitne obveze (zahtjevi) norme ISO 9001:2008, kako se onda može reći da u toj reviziji nema novih zahtjeva kada je upravljanje rizicima postalo sastavni dio sustava upravljanja kvalitetom. U nekim narednim tekstovima ću se osvrnuti na neke druge nove zahtjeve koji neki čitajući normu ne vide, ili ne žele da vide.

Na kraju, vjerojatno bi se u svim tim dopisima koje su odaslale certifikacijske kuće za neke od njih mogla primjeniti njihova neizrečena zaključna izjava: "ma ljudi smo, dogovorit ćemo se. Pa nećemo se valjda opterećivati vrijednošću i stvarnim značajem certifikata. Ipak je to za nas samo business".

Zar je lako je zadovoljiti normu ali ne i kupca?

"Kopajući" po internetu naletio sam na web stranicu jedne firme koja ima u naslovu slogan: "Lako je zadovoljiti normu, ali ne i kupca!". Nije bitno što se dalje navodi na toj web stranici, niti što se propagira na njoj. Ne ulazim u nikakav komentar vezan za djelatnosti i aktivnosti firme te kvalitetu njihovog rada, već na besmislenost ove male fraze.

Osnovni postulat norme (misli se vjerojatno na ISO 9001) je da se zadovolji kupac. Ako kupac nije zadovoljan, pa to je zato što je implementacija norme (ako postoji) u organizaciju besmislena - loše provedena, ili se firma ne drži onoga što je u implementaciji definirano.

Činjenica je da NORMU NIJE LAKO ZADOVOLJITI. S druge strane, nitko ne očekuje da se zadovolji norma. Norma je samo mrtvo slovo na papiru. Ali se očekuje da se zadovolje zahtjevi koje norma definira, ako se želi certifikat po toj normi. Jedan od najvažnijih i ključnih zahtjeva norme je zadovoljstvo kupca. Ako se pogleda proces sustava kvalitete kako ga opisuje i grafički prikazuje norma ISO 9001, na ulazu procesa su zahtjevi kupca, a kao izlaz je zadovoljenje zahtjeva kupca. U fazi Check PDCA kruga se izneđu ostalog traži i mjerenje zadovoljstva kupca. Kako je onda moguće imati zadovoljnog kupca, a nemati zadovoljene zahtjeve norme. To je nemoguće. Zadovoljstvo kupca je uvjetovano ispunjavanjem zahtjeva norme i obrnuto.

Ako se kaže, lako je zadovoljiti normu (zahtjeve norme) onda se to može samo kupnjom certifikata, a ne pravilnom i odgovornom implementacijom i zasluženom dodjelom certifikata. Svi oni koji su učestvovali u implementaciji znaju kako je to složen i odgovoran posao, pa čak i ako se radi o manjim firmama. Vrijeme za pravilnu implementaciju norme može se protezati kroz više mjeseci, pa i više godina za velike organizacije. S druge strane imate u praksi slučajeve da se certifikat može dobiti kroz 30 dana implementacije. E to je svakako lako. Metodologija je uhodana: uzme se nečija dokumentacija, koja u sebi obično ima karateristične nazive firme, kao npr. XXXXX, ili YYYYY, itd, te se Search/Replace metodom dobije nova dokumentacija za firmu koja se zove npr. "Bolja crna budućnost". To svakako nije teško, ali je besmisleno potrošen novac, jer ste kupili nepotrebnu stvar, bez obzira koliko košta. Zašto takve implementacije propuštaju certifikacijske kuće, posebno je pitanje i ide im na čast poslovne odgovornosti. Takva poslovna odgovornost je kod nas malo značajna jer se u konačnici ni država kroz svoje institucije ne obračunava s takvim pojavama, koje su prvenstveno usmjerene na kratkoročne osobne koristi i obmane potencijalnih poslovnih partnera. A zašto se ne bune korisnici takvih usluga? Pa oni su sami pristali na varijantu da nešto plaćaju, a nemaju nikakav dokaz što će na kraju dobiti, a na žalost često puta ni ne znaju što to trebaju dobiti.

Recimo dalje, na istoj web stranici u okviru samoreklame nalazim frazu: "Već smo davno, na temelju osobnog iskustva iz neposredne prakse raščistili sa svim maglovitim konceptima i mistificiranjem kvalitete." Ne postoje magloviti koncepti, postoji samo neznanje i neiskustvo. S druge strane, nitko ne mistificira kvalitetu osim neznalica i nestručnjaka. Jednom, dosta davno sam sreo tekst: "Tko nije u stanju 14-godišnjaku objasniti ono što radi, onda je on diletant". Ja sam 100% pristalica i pobornik te ideje. Nema tog zaposlenika kojemu se nemože jednostavno objaniti što je kvaliteta, bez obzira kakvog je stupnja obrazovanosti. Važno je tko i kako objašnjava. Drugo je pitanje da li se može zaposlenika i kako "pridobiti" da se drži tih principa koji osiguravaju sustav kvalitete. E to već nije jednostavno. Glavni, ako ne i jedini krivac za neuspjeh tog "pridobivanja" je vrhovna uprava na čelu s direktorom.

Ili recimo, nalazim dalje na pomenutoj web stranici: "Za početnike i napredne, za male i velike, bez muke i nauke, bez velikih riječi i tajnovitosti." E to bi stvarno volio vidjeti. Ja sam bio i ostao pobornik obrazovanja, i uvjek sam smatrao da onaj tko je vrijedan (radišan), a neznalica, izuzetno je opasan za posao. Zar nije poznata izreka: bez muke nema nauke. Što se tiče velikih riječi, one su potrebne u trenucima kada je nužna pobuda emocija. No u poslu se nikada ne treba odlučivati s emocijama, već trezveno, hladne glave i na temelju poslovnih pokazatelja. Zato bi volio da me netko upozna s firmom u kojoj je bez muke i nauke uspješno implementirana norma. To ja do sada nisam sreo. No, možda jednog dana i to doživim. Potragu za takvom firmom, smatram isto kao i potragu za svetim Gralom. Iz prakse je poznata činjenica: implementacija norme za sustav upravljanja kvalitetom u organizaciju NEMOŽE se uspješno provesti ako nisu SVI u organizaciji odgovarajuće educirani i ako SVIMA nije podignut nivo svjesnosti o tom problemu na potrebnu razinu. Što mislite kako funkcionira sustav kvalitete u nekoj firmi, kada veći dio zaposlenika nema ni pojma da to kod njih postoji, a većina ostalih misli da je to bespotrebno malteriranje s papirologijom?

Pogledajmo dalje jedan primjer reklame s pomenute stranice: "Svoj koncept kvalitete testirali smo na najsloženijim projektima na svjetskom tržištu u zahtjevnim područjima kao što je razvoj proizvoda i izrada alata za auto-industriju.". Ovo je vrlo interesantno i za svaku pohvalu ako je neka firma na našim prostorima uspjela razviti svoj koncept kvalitete. To je nešto što bi trebalo biti na ponos svima. No, ima jedan mali problem. Kako uvjeriti svjetsko tržište da je vlastiti koncept kvalitete bolji od opće priznatog koncepta temeljenog na normi ISO 9001? U tome i je "tajna" norme ISO 9001 (kao i ostalih) da se ne dolazi u neistražena područja i besmislenja lutanja, pa da o sustavu kvalitete svatko misli što hoće, nego da se o tom problemu u svakom kutku Zemlje misli na sličan, ako ne na isti način. Drugo je pitanje kako se može i treba implementirati sustav upravljanja kvalitetom. E tu može biti, i na sreću ima više konceptualnih i metodoloških pristupa. No, svim tim konceptima i metodama pristupa implementaciji treba biti cilj doći do sustava upravljanja kvalitetom kakav tumači norma ISO 9001 (naravno, sve uz pretpostavku da se želi certifikat ISO 9001). Ako netko ne želi certifikat ISO 9001, onda može izmisliti i svoj koncept kvalitete.

Slijedeća fraza: "Certifikacija sustava nije cilj već sredstvo kojim Uprava potvrđuje svoje opredjeljenje za kvalitetu i stalno poboljšavanje, a organizacija prema van pokazuje sukladnost sa zahtjevima i povećava povjerenje kupaca. Problem nije certifikacija već kvaliteta, troškovi i konkurencija!". Baš obrnuto: certifikacija je cilj, a sredstvo s kojim se olakšava upravljanje na željenom nivou kvalitete je uspostavljen i funkcionalan sustav upravljanja kvalitetom. Poznato je da u nekim organizacijama postoje sustavi upravljanja kvalitetom koje izuzetno dobro rade, a nemaju certifikat. Ako se želi postići i markentiški efekt, tada uprava postavlja cilj da se osigura i certifikat.

Ovakvim pregledom web stranice, može se naći još niz fraza koje su vrlo diskutabilne, a u biti mnogo govore o stavovima ponuđača implementacije sustava za upravljanje kvalitetom. Smatram da je i ovo dovoljno da se čitatelji zamisle oko toga kada čitaju reklame i tumače značenje istih barem kada je u pitanju ovo, inače vrlo ozbiljno i profesionalno područje.

Ovaj tekst sam napisao samo s jednom namjerom, da se pazi kako se reklamira i ne dovodi u zabludu potencijalni partner - korisnik usluga. Smatram da treba uvijek partneru pokazati kakvi ga realni problemi očekuju, te dati dokaz da se te probleme može riješiti, ali ne bez obrazovanja, muke i nauke, ma što god to nekome značilo. U svakom slučaju, uvjet za uspješnu impelementacije norme u organizaciju je savjesna i poslovno orjentirana vrhovna uprava. Bez nje i njegog ispravnog stava NEMA UPSJEŠNE implementacije sustava upravljanja kvalitetom.

Osvrt na tekst "Mane ISO sustava upravljanja kvalitetom"

Na portalu http://vjestak-informatika.com/ iza kojeg stoji gsp. Saša Aksentijević korektno je prenešen članak s izvornika, a koji govori o manama ISO sustava upravljanja kvalitetom. Kako sam ja dugo vremena (od 1996) uključen u aktivnosti vezane za implementaciju i autidiranje ISO sustava kvalitete i to kao EOQ menadžer, konzultant i EOQ auditor, smatram potrebnim dati ne komentar na članak, već svoj cjeloviti osvrt. To je nužno zbog toga što bi čitatelji izvornog članka mogli doći do pogrešnih zaključaka. U tom smislu, prvo ću citirati članak, a kojeg možete pročitati i na portalu Saše Aksentijevića ovdje.

Citat članka:
"Temeljna zamjerka većini ISO sustava upravljanja kvalitetom je pretjerana egocentričnost - sve organizacije koje su prošle kroz proces ISO certifikacije znaju koliko resursa (novca i vremena) ‘gutaju’ prije uvođenja i osobito nakon procesa certifikacije. Nadalje, vrlo često dolazi do pojave ‘pretjerane reguliranosti’ gdje se čak i najbanalnije situacije i procesi pokušavaju podvesti pod formalne procedure, uključujući i one koje nemaju ama baš nikakav potencijalni ili realni mogući utjecaj na poslovni rezultat. 

Većina ISO sustava upravljanja u sebi sadrži tvrdnju kako njihovo uvođenje povećava konkurentnost, profitabilnost i percepciju organizacije od strane okoline. No, da li je to baš tako? Na čemu se točno temelji ta izjava, sveprisutna u klauzulama većine ISO sustava upravljanja kvalitetom? Ovdje možete pročitati jedan vrlo zanimljivi članak u kojemu je objašnjeno na primjeru jednog izvedenog i dobro dokumentiranog istraživanja kako ISO 9001 certifikacija nije pokazala značajnije povećanje profitabilnosti u odnosu na konkurenciju branše koja nema taj certifikat, uz objašnjena ograničenja izvedenog istraživanja. Pritom ne treba zaboraviti kako neuvođenje sustava ISO certifikacije nije isto što i izostanak sustavnog rukovođenja poslovnim procesima i vođenje jasnog registra aktualnih procedura tamo gdje je to nužno i potrebno! 

U svakom slučaju, ozbiljan rukovoditelj ili direktor uvijek će potražiti mišljenja s više strana a kada je uvođenje nekog ISO sustava u igri, ovakva istraživanja su valjan putokaz prema “drugoj strani medalje” koji treba uzeti u obzir pri odlučivanju."

Kraj citata.

Kao prvo, ovakvi stavovi su ili tendenciozni ili napisani od strane onih koji ne uvažavaju neke elementarne postavke u filozofiji sustava kvalitete prema ISO normama. Zato treba navesti koji su postulati sustava kvalitete prema ISO.

Nigdje u ISO dokumentima ili normama ne stoji da se uvođenjem ISO certifikata povećava dobit. To je izmišljotina do bezobrazluka kompromitiranih certifikacijskih kuća koje obećavaju nešto, zbog svog interesa,  za čega ne postoji nigdje nikakav dokaz. No, tu bi ja ipak dodao jedan detalj: uvođenjem sustava upravljanja MORA se postići STVARANJE VIŠKA VRIJEDNOSTI. To je ipak znatno širi pojam od dobiti. U koliko niste u stanju dokazati da će doći do povećanja viška vrijednosti, tada vam u organizaciji stvarno ne treba sustav upravljanja, pa tako ni ISO certifikat. Zato, investicija u uvođenje sustava upravljanje kvalitetom ima opravdanja samo ako je konačna korist pozitivna. Da li je to puno novaca? Pa nije pitanje u količini novaca koji se investira, već je pitanje "Da li je dara veća nego ćar?". Pa zar se vlasnici i direktori firmi ne pitaju koliko će koštati uvođenje nove tehnološke linije i da li će ta investicija biti pokrivena povećanim prihodom. Ja sam siguran da se pitaju. Oni to dokazuju provođenjem Cost Benefit analize. Zašto se ne pitaju to isto i u slučaju uvođenja nekog sustava upravljanja, pa bio on i sustav upravljanja kvalitetom? Ako je netko slučajno čuo da su konzultanti nudili provođenje Cost Benefit analize i dokazivanje isplativosti prije uvođenja sustava upravljanja kvalitetom, molim javite nam da napišemo jedan veliki tekst hvale i stručnosti takvog konzultanta. Gospodo direktori, na vama je u ovom slučaju problem što ste spremni plaćati nešto, a neznate da li vam to stvarno treba. "Upecali" ste se na reklamu i slatkorječivost propagande, a zaboravili ste elementarnu funkciju menadžera da se odluka donosi na temelju dokaza o opravdanosti, naravno uzimajući u obzir i prihvatljiv stupanj rizika. Ja bi rekao ovako: ozbiljni rukovoditelj ili direktor neće tražiti mišljenje na više strana, već će od svog konzultantskog tima tražiti Cost Benefit analizu. U svim ostalim slučajevima to je šarlatanizam ili demagogija. Evo jednog primjera: nikada nam nije prošla ponuda u kojoj smo nudili da konzultantski posao ne košta ništa, ali hoćemo 10% od dokazane povećane vrijednosti. Šta mislite šta je bio odgovor? Pa to bi moglo biti puno novaca !!!  


Nigdje u ISO dokumentima i normama ne stoji, niti se naslućuje da će te stjecanjem certifikata za sustav upravljanja kvalitetom postati bolji od firmi koje ga nemaju, a rade u istoj branši. To je, ako se negdje pojave takve tvrdnje rezultat neznanja i nepoštene reklame. U praksi se može pokazati da stvarno postoje firme koje nemaju ISO certifikat, a bolje rade od nekih firme koje ga imaju. Kako to? Sustav upravljanja kvalitetom, kakav danas poznajemo počeo se stvarati početkom 50-tih godina prošlog stoljeća, a početkom 90-tih je došlo do ozbiljne normizacije i stvaranja međunarodnih normi. Da li je prije toga bilo firmi koje su dobro radile? Pa naravno da je bilo. Da li danas sve firme imaju ISO certifikat, odnosno uveden sustav upravljanja kvalitetom? Naravno da nemaju. Pa u čemu je stvar? Ni jedna norma (ISO 9001, ISO 14001, ISO 22000, ISO 27001, itd) nikoga ništa na ovom svijetu ne obvezuje i one sve su dobrovoljne, barem što se tiče ISO organizacije. Međutim, kada firma odluči da primjeni neku normu zbog nekog razloga, onda ta norma postaje ZAKON u toj organizaciji i ako se želi certifikat po toj normi firma MORA ispuniti SVE zahtjeve koji su navedeni u dotičnoj normi.
 
Zašto bi neka firma odabrala uvođenje sustava kvalitete (ISO 9001) kada se može pokazati da se može dobro raditi s velikom dobiti i ako nemate takav certifikat? Prvo razjasnimo odakle je potekla potreba za normom, uvođenjem sustava upravljanja kvalitetom i u konačnici certifikacija. To nije izmislila niti jedna vlada, niti jedna država (one su tome kasnije davale i daju potporu). To je u jednom trenutku postala glavna potreba firmi, kao jedan od glavnih zahtjeva opstanka i razvoja. Evo jedan od niza aspekata: ako ne sve, ali ipak većina firmi imaju svoje partnere koji na neki način učestvuju u konačnom proizvodu u obliku usluge ili komponente. Šta je za firmu u tom slučaju važno? Mora imati dokaz da će partner i u budućnosti biti jednako dobar i da se mogu osloniti na njega. Ako on "zabrlja", znači da će i moj proizvod u većoj ili manjoj mjeri biti zabrljan, pa ću imati gubitke, a možda i egistencijalne probleme. To je nemoguće riješiti samo ugovorima. Pored toga, ne samo da želim dobiti dokaz da će partner dobro raditi, želim i mogućnost provjere da li je u organizaciji sve dobro što ima veze s mojim proizvodom. Kao rezultat takvih zahtjeva stvoren je sustav upravljanja kvalitetom, ali i ostali kao što su ISMS, EMS, OHSAS, FSMS, itd.
 
U ni jednoj ISO normi prema kojoj se vrši certifikacija nekog sustava, pa tako i ISO 9001 za sustav upravljanja kvalitetom ne nalazi se ništa što govori o tome KAKO treba nešto napraviti. U svim ISO normama stoji ŠTO se treba napraviti. Što to znači? Svaka klauzula govori ŠTO se mora napraviti, a vi gospodo menadžeri uz pomoć konzultanata to realizirajte na svoj način kako vama odgovara u vašoj firmi – odnosno kako vam je optimalno. Ako nešto nije dobro napravljeno, nije za to kriva norma ISO 9001, već nestručnost i glupost onih koji uvode sustav. Objasnimo to samo na dva primjera koji imaju veze sa izvornim člankom.
 
Prvo o procesima. ISO 9001:2000 uveo je obvezu procesnog pristupa, a revizija ISO 9001:2008 čak zahtjeva i mapiranje procesa. Izvor problema u praksi počinje i završava na činjenici da su konzultanti kao i menadžeri kvalitete nedovoljno (ili nikako) obrazovani. To je moje uvjerenje nakon niza seminara i kontakata s njima, ali i prisustva na simpozijima i čitanja niza stručnih radova iz tog područja. Konzultanti u većini slučajeva nemaju pojma o sustavima i mogućnostima upravljanja s njima. Poznato je da se sa sustavima može upravljati na dva načina: procesnim ili PDCA pristupom. Zato što iz norme ISO 9001 loše pročitaju i još lošije shvate smisao teksta konzultanti u velikom broju slučajeva tumače da sve treba podvesti pod procesni pristup. To je vulgarizacija i besmislenost. Postoje procesi u organizacijama koje je teško ili nemoguće dobro riješiti procesnim pristupom, ali se zato jako dobro mogu riješiti PDCA pristupom. I jedan i drugi pristup su apsolutno prihvatljivi za ISO 9001 i kao takvi u normi preporučeni. Kada loše obrazovani konzultant tvrdi da se sve aktivnosti u firmi treba provesti kroz procesni pristup, dolazi se do besmislenosti a onda i do onakvih komentara kao što je u izvornom članku.
 
Drugi primjer je u izvornom članku “Prenormiranost”. Taj pojam prenormiranosti se uzima u smislu da se sve propisuje kako će se raditi. Nevjerojatno, ali istinito. Takve slučajeve sam sretao tijekom certifikacijskih audita. Apsolutna je činjenica: NEMOGUĆE JE SVE NORMIRATI - PROPISATI. Da li je za to kriva norma ISO 9001. Ni najmanje. U normi SIO 9001 ne postoji ništa što obvezuje na količinu normiranja. Jedan primjer: u jednoj poznatoj zagrebačkoj firmi sam bio na certifikacijskom auditu. Imali su proceduru za nabavu na 17 stranica papira. Čisto iz radoznalosti sam ju čitao. Moram priznati da nisam na kraju znao šta bi trebao raditi prema njoj. Kakvo će vam iskutvo prenijeti zaposlenici u takvom sustavu kvalitete? Ili recimo, u drugoj velikoj firmi koja zapošljava cca 5.000 ljudi imali su oko 370 identificiranih procesa. To slobodno možete staviti u ladicu na kojoj se nalazi naljepnica: "Vulgalizirana primjena ISO 9001". Šta mislite kakvo je iskustvo te firme vezano za sustav kvalitete?
 
Tako bi mogao navoditi još niz primjera. No, kome i ovo nije dosta, neće mu pomoći ni dodatni.
 
U čemu ja vidim problem? Moj osnovni stav je da za uspjeh presudnu ulogu igra obrazovanje. A to je rak rana u ovom području. Obrazovanje koga? Prvenstveno, s jedne strane mendžera kvalitete koji trebaju da uvedu sustav u firmu i kasnije da ga održavaju, te s druge strane konzultanata bez kojih se u pravilu to ne radi. Evo vam jednostavno pitanje: da li bi išli na operaciju slijepog crijeva kod mesara koji je prošao 5-dnevni tečaj kirurgije? Vjerojatno nebi. A da li ste spremni dati sustav vrijedan milijune u ruke neobrazovanom menadžeru kvalitete ili konzultantu? Praksa pokazuje da su direktori i uprava spremni na to. Zašto se čuditi da imate u praksi niz sustava kvalitete u firmama od kojih nema nikakve koristi, a često puta su i štetni.
 
Na kraju, ovo nije problem samo sa sustavom za upravljanje kvalitetom koji se temelji na normi ISO 9001. Stvar je apsolutno jednaka i kod upravljanja informacijskom sigurnošću – ISMS (ISO 27001), upravljanja okolišem – EMS (ISO 14001), ispravnošću hrane i pića (ISO 22000), itd, itd. Samo u gornjem tekstu zamijenite pojam upravljanje kvalitetom i stavite npr, upravljanje informacijskom sigurnošću, ili upravljanje okolišem, dobit ćete jednaku situaciju.
 
Ipak, na kraju ne mogu amnestirati direktore ili vrhovnu upravu firme. Naime, sustav upravljanja kvalitetom je njihov alat i sredstvo kojim bi morali moći uspješnije upravljati s organizacijom. Ako se to ne postiže, tada nešto ne štima. Smatram da bi problem trebali prvenstveno tražiti u samim sebima, a onda u okolici i podređenima, a tek na kraju, kada iscrpite sve, posumnjajte u ISO normu.
 
Mislim da bi se na mane ISO sustava upravljanja kvalitetom trebalo gledati isto kao i na manu automobila da povremeno gazi pješake ili se sudara s drugim automobilima.

Osvrt na tekst „Zašto ISO 27001 (možda) nije dovoljan?“

Nedavno sam na web stranici www.vjestak-informatika.com našao jedan članak pod naslovom „Zašto ISO 27001 (možda) nije dovoljan ?“. Naravno da me je sam naslov jako zainteresirao jer se intenzivno bavim tim područjem. Odmah sam ga pročitao. Prva rekcija je bila: što je poanta teksta? Ta reakcija nema veze s portalom „vjestak-informatika“ na kojem je objavljen tekst, niti s autorom portala. On je korektno preneo glavne stavove iz članka „Why ISO 27001 is not enough“ objavljenog na web stranici ovdje. Taj me tekst nije ostavio ravnodušnim i osjetio sam potrebu da reagiram na njegov sadržaj. Naime, o svemu se može kritički pisati, pa tako i o ISO 27001, čak smatram da je to izuzetno važno i korisno, ali nije dobro kada je prikaz jednostran ili polovično izrečena misao, pa se može dovesti u ozbiljnu nedoumicu ili zbunjenost prosječnog poznavaoca te problematike, a nekoga tko slabo to zna, potpuno „raspametiti“. Pri tome sam se kratko dvoumio da li da za osnovu uzmem skraćenu verziju članka ili original. Kako je skraćena verzija korektna i u potpunosti oslikava sadržaj originala, a i manje je veličine, odlučio sam se da temelj mog komentara bude upravo skraćeni članak s portala „vjestak-informatika“. Koga zanima, može izvorni tekst pročitati na gore ponuđenom linku. Skaćena verzija članka objavljenog na portalu „vjestak-informatika“ je kako slijedi:

Na siteu BCS-a nalazi se odličan i realan članak o ISO 27001 standardu. Naglasci iz članka su na sljedećem:

1.    ISO 27001 nije standard informacijske sigurnosti nego standard upravljanja sustavima (”management standard”)

2.    ISO 27001 daje okvir za upravljanje sigurnošću unutar organizacijom ali sam po sebi nije “zlatni standard” za upravljanje istom

3.    ISO 27001 baziran je na pristupu procjene rizika a prihvatljive nivoe rizika određuje sama organizacija. ISO 27001 ne propisuje prihvatljivu razinu rizika te će podržati provođenje čak i neracionalne procjene rukovodstva koje objektivno mogu dovesti do nesigurnosti, iako je organizacija certificirana po ISO 27001 sustavu (sic!)

4.    Organizacije same odabiru kontrole koje se odnose na njih

5.    ISO 27001 sadrži listu kontrola koje su sastavni dio implementacije standarda no ta lista nije definitivna. (komentar: ISO 27001 nije najbolje usklađen s novim razvojima tehnologije te npr. uopće ne adresira probleme sigurnosti kod cloud computinga, primjene slice-inga umjesto čiste kriptografije ili npr. virtualizaciju)

6.    Uvođenje sustava ISO 27001 zahtijeva sigurnosnu ekspertizu tehničkog aspekta informacijske sigurnosti

7.    Certifikacija ISMS-a po ISO 27001:2005 sustavu ne znači niti garantira informacijsku sigurnost, naprotiv, to samo znači sukladnost sa samim standardom. Prepustimo čitateljima samima da donesu zaključke vezane uz ovu činjenicu.

8.    ISO 27001 je posve neefikasan i ne postiže ciljeve ukoliko ne postoji pravilna i nezavisna procjena rizika, posvećenost rukovodstva postizanju ciljeva sigurnosti, jasno vlasništvo nad procesima i informatičkom imovinom i svakodnevno promicanje kulture sigurnosti

Naposlijetku, dodao bih da ipak, usprkos svemu ovome, ISO 27001 je za sada najbolji alat koji stoji na raspolaganju organizacijama koje žele formalizirati svoje upravljanje sustavom informacijske sigurnosti.

Ja ću dati komentar za svaku točku posebno:

1. ISO 27001 nije standard informacijske sigurnosti nego standard upravljanja sustavima (”management standard”). To baš i nije točno. Izvorni puni naziv standarda je: ” Information technology — Security techniques — Information security management systems — Requirements”. To bi značilo da je standard ISO 27001 skup zahtjeva koje se mora ispuniti ako se želi dobiti certifikat za sustav upravljanja informacijskom sigurnošću.
   
2. ISO 27001 daje okvir za upravljanje sigurnošću unutar organizacijom ali sam po sebi nije “zlatni standard” za upravljanje istom. Točno je da je to standard koji definira okvir za upravljanje informacijskom sigurnošću. Ali što bi to trebalo značiti da sam po sebi nije “zlatni standard” za upravljanje istom. To mi stvarno nije jasno što treba značiti “zlatni standard”. Koliko je meni poznato ne postoji kategorija “zlatni standard”, pa prema tome ni ISO 27001 sigurno nije “zlatni standard” ma što god to značilo. On je samo ono što piše u njegovom nazivu i definiciji namjene. Nije potrebno od nekog standard očekivati nešto drugo od onoga za čega je namjenjen.
   
3. ISO 27001 baziran je na pristupu procjene rizika a prihvatljive nivoe rizika određuje sama organizacija. ISO 27001 ne propisuje prihvatljivu razinu rizika te će podržati provođenje čak i neracionalne procjene rukovodstva koje objektivno mogu dovesti do nesigurnosti, iako je organizacija certificirana po ISO 27001 sustavu. To je dijelom točno, a dijelom potpuno pogrešno. Točno je da je procjena rizika temelj za uspostavu sustava za upravljanje informacijskom sigurnošću (ISMS). To je zahtjev koji nalaže standard ISO 27001. Točno je i da svaka organizacija sama određuje u skladu sa svojim potrebama i mogućnostima razine prihvatljivog rizika. E to ne samo da je točno, to je izvanredno ispravno i jedino moguće. Pa tko može propisati nivo rizika s kojim će se raditi u svim organizacijama svijeta. Autori ISO 27001 to jako dobro znaju i nisu upali u zamku da propisuju takvu stvar. Čak nije ni metodologija procjene, bolje rečeno validacije rizika propisana, već ju organizacija sama odabire prema svojim potrebama i primjerenosti. No, netočno je u gornoj tezi da rukovodstvo donosi nerealne procjene rizika koje objektivno mogu dovesti do nesigurnosti. To nije u skladu sa zahtjevima standarda ISO 27001 i prema tome to je netočno. U čemu je stvar? Tim eksperata koji su verzirani za procjene rizika naprave procjenu i obradu rizika koja rezultira sa dva dokumenta SoA (izjava o primjenljivosti) i izjava o prihvaćanju preostalog rizika. Rukovodstvo treba prihvatiti te dokumente i eksplicitno ih potpisati. No, tu je mogući ozbiljni problem u praksi. Dokumenti SoA i izjava o preostalom riziku u sebi sadrže i novčane iznose koje je potrebno investirati u sigurnosne mjere da bi se ostvario željeni nivo rizika. Tu rukovodstvo nemora uvjek imati sluha, jer je moguća po njihovom mišljenju prevelika investicija u sigurnosne mjere, pa traže reviziju procjene rizika da bi se smanjili troškovi. To povlači u pravilu promjenu sigurnosne politike, možda ćak i opsega informacijskog sustava, ali i kriterija prihvaćanja rizika. Taj kompromis između nivoa sigurnosti i investicija u sigurnost je po principu: koliko para toliko muzike. No to nije problem standarda.
   
4. Organizacije same odabiru kontrole koje se odnose na njih (napomena: kontrola = sigurnosna mjera). Točno, i jedino moguće. Koje će se kontrole koristiti određuje se prvo nacionalnom zakonskom regulativom, internim pravilima rada organizacije ili strukovnih organizacija, a ostale procjenom rizika. Ako procjena rizika pokaže da neka kontrola ne treba, pa zašto ju provoditi?
   
5. ISO 27001 sadrži listu kontrola koje su sastavni dio implementacije standarda no ta lista nije definitivna (komentar: ISO 27001 nije najbolje usklađen s novim razvojima tehnologije te npr. uopće ne adresira probleme sigurnosti kod cloud computinga, primjene slice-inga umjesto čiste kriptografije ili npr. virtualizaciju). Točno ali loše objašnjeno i zbunjujuće za nestručnjaka, jer može pomisliti da je to nešto loše, a u biti je jako dobro. Prvo, u ISO 27001 se nalazi Anex A u kojem je predložena sistematizirana lista kontrola (sigurnosnih mjera). Sve te kontrole ili samo neke od njih se mogu koristiti ako je to opravdano za organizaciju. Za sve kontrole prikazane u Anexu A u ISO 27001 detaljni opis ciljeva i prijedloga njihove implementacije po principu najbolje prakse prikazan je u standardu ISO 27002. Ukupan broj tako predloženih kontrola je 133 (za reviziju iz 2005 god). Da li je to sve što treba u praksi za sve organizacije svijeta? Naravno da nije. To je prijedlog najčešće i najšire predloženih kontrola koje su bile poznate u trenutku izdavanja standarda. Ako nekome treba neka drugačija kontrola, ili hoće svoj način implementacije kontrole tada si može sam dodati svoje. To nije neka proizvoljna sloboda, već eksplicitni savjet i zahtjev standarda ISO 27001: ako nekome fali kontrola zato što je njegova firma specifična u prostoru i vremenu, dodajte si sami. Potrebno ju je samo dokumentirati. Jedini način da se osigura univerzalnost i višegodišnja primjenljivost standarda u praksi.
   
6. Uvođenje sustava ISO 27001 zahtijeva sigurnosnu ekspertizu tehničkog aspekta informacijske sigurnosti. E tu je katastrofalno tendenciozni prikaz zahtjeva ISO 27001 ili totalno nepoznavanje strukture uspostavljenog sustava ISMS. Cijeli sustav ISMS koji se uspostavlja prema ISO 27001 ima četiri nivoa: prvi nivo su politika (ako ne spominjemo viziju i misiju), opseg, elementi analize rizika (metodologija procjene, kriteriji, itd), drugi nivo čine procesi odnosno procedure, treći nivo su uputstva, te četvrti nivo zapisi. Prvi nivo rješava tim specijalista za procjene rizika te rukovodstvo firme koje prihvaća razne dokumente uz koordinaciju menadžera informacijske sigurnosti. Drugi nivo su procedure koje se koriste u svakodnevnoj funkciji ISMS, a koje se po principu najbolje prakse mogu koristiti iz svjetske baze znanja. Tu glavnu riječ vode menadžeri informacijske sigurnosti u susradnji s izvršiocima posla u organizaciji. Treći nivo – uputstva, u pravilu rade eksperti iz pojedinih područja. To su u pravilu problemi vezani za tehnički aspekt sigurnosti – ne za organizacioni. Tu je nemoguće bilo što napraviti bez učešća eksperata iz pojedinih područja. Četvrti nivo su zapisi kojima se dokazuje da je ISMS radio u skladu s definiranim pravilima onako kako je to organizacija uspostavila. No jedna mala digresija: analizom incidenata u svijetu vezano za informacijsku sigurnost pokazuje se da je oko 20% sve nesigurnosti u sferi tehnologije, a ostalih 80% u sferi organizacije. Kad bi tehnologija za sigurnost bila tako moćna da rješava sve ili barem većinu problema, onda bi to bilo sjajno. No, dok su ljudi sastavni dio ISMS, zaboravite sigurnost bez savršene organizacije. Zbog toga upravo i postoji ISO 27001. Ja bih u svakom slučaju to i ovako naglasio: onaj tko ne shvaća da je dobra organizacija i provođenje te organizacije u skladu s dogovorenim pravilima ako ne najvažnija, onda jednako važna kao i tehničko-tehnološke mjere zaštite, sigurno nije dorastao problemu integralne zaštite informacijskog sustava.
   
7. Certifikacija ISMS-a po ISO 27001:2005 sustavu ne znači niti garantira informacijsku sigurnost, naprotiv, to samo znači sukladnost sa samim standardom. Prepustimo čitateljima samima da donesu zaključke vezane uz ovu činjenicu. Sada je pitanje kakve zaključke čitatelji trebaju donijeti. Ima raznih čitatelja. Ako su kao ja, onda je moj zaključak: točno ali nedorečeno s namjerom da se da negativna konotacija. Mogu li dati odgovor s drugim pitanjem? Znam da to nije pristojno, ali evo pitanja: ako ugradite protuprovalna vrata na stan, da li to znači da vas lopov neće moći pokrasti? Da li ta protuprovalna vrata garantiraju 100% sigurnost stana? Ili recimo, kada položite vozački ispit i dobijete dozvolu u skladu s nacionalnim zakonom o saobračaju, znači da imate certifikat da ste vozač. Da li je to garancija da nećete napraviti nikada saobraćajni prekršaj ili udes? Kada završite medicinski faktultet i dobijete diplomu (certifikat) da ste liječnik, da li je to bilo kojem pacijentu garncija da ćete svakog liječiti bez greške. U ostalom, što certifikat znači: upravo ono što je zapisano – u jednom trenutku (kada se vrši audit - provjera) dokazali ste da ste zadovoljili neke kriterije koje je društvo propisalo. Ništa drugo certifikat ne znači niti garantira. Da li će se kasnije raditi u skladu s time što certifikat znači, nije problem niti standarda niti certifikata. No, ima jedna mala tajna: toliko je jednostavno utvrditi da netko ne poštuje uspostavljeni sustav ISMS, odnosno da je sustav neefikasan, tako da se uprava nebi nikada trebala žaliti na njegovu neefikasnost, odnosno nezadovoljavanje osnovna tri aspekta informacijske sigurnosti: tajnost, dostupnost i cjelovitost informacije. Na kraju krajeva, sami hoće (vjerojatno nesvjesno) neefikasanu sigurnost informacijskog sustava, jer dozvoljavaju da tako bude.
   
8. ISO 27001 je posve neefikasan i ne postiže ciljeve ukoliko ne postoji pravilna i nezavisna procjena rizika, posvećenost rukovodstva postizanju ciljeva sigurnosti, jasno vlasništvo nad procesima i informatičkom imovinom i svakodnevno promicanje kulture sigurnosti. Dakle, prvo ISO 27001 nemože biti ni efikasan ni neefikasan. Može biti samo ISMS koji se uspostavi na temelju njega efikasan ili neefikasan. Drugo, što znači nezavisna procjena rizika? Postoji stručna i nestručna procjena rizika. Posvećenost rukovodstva, vlasništvo nad procesima i informacijskom imovinom, dovoljno visoka svjesnost o informacijskoj sigurnosti svih u sustavu ISMS, ali i još mnogo, mnogo drugih stvari su osnovni zahtjevi koje se prema ISO 27001 mora zadovoljiti. To zadovoljavanje se dokazuje auditom i tek onda dodjeljuje certifikat. Ako neka organizacija ima ISMS certifikat na temelju ISO 27001 a nezadovoljava sve te zahtjeve, nije u biti kriva organizacija, već certifikacijska kuća čiji su kriteriji poštivanja zahtjeva standarda ispod svake razine razuma i poslovnosti. U ostalom, razmislite o efikasnosti ISMS na temelju jednog slučaja iz prakse: u jednoj zagrebačkoj firmi se hvale da su uspostavili ISMS i dobili certifikat prema ISO 27001, a u biti proveli su certifikaciju, pazite ovo, ne cijele organizacije, čak ni recimo IT sektora, već samo jedne aktivnosti firme. To je vrhunac besmislenosti i neefikasnosti, ali „life is life“.
   

Naposlijetku, dodao bih da ipak, usprkos svemu ovome, ISO 27001 je za sada najbolji alat koji stoji na raspolaganju organizacijama koje žele formalizirati svoje upravljanje sustavom informacijske sigurnosti. E sa ovime se u potpunosti slažem, osim što to nije alat nego okruženje i zahtjevi koje se mora ispuniti ako se želi certificirani ISMS.

Ipak, na kraju želim reći, kada sam pročitao naslov izvornog teksta pomislio sam da ću dalje u tekstu naći objašnjenje da ISO 27001 nije dovoljan za implementaciju ISMS za dodjelu certifikata. No, kao što se iz gore navedenog vidi, smatram da su objašnja o nedovoljnosti u izvornom članku promašena. Ipak, ja bi postavio isto pitanje: 

Da li je ISO 27001 dovoljan za implementaciju i certifikaciju ISMS?

Moj odgovor je: APSOLUTNO NIKADA NIJE DOVOLJAN !

Razlog? Više nego banalan: nemoguće je uspostaviti ISMS samo na temelju ISO 27001. Postoji još niz standarda koje se u većoj ili manjoj mjeri mora/treba konzultirati i primjenjivati. Tu se stvaraju teškoće i traži prilično velika širina znanja i iskustva pri implementaciji. Uz niz dodatnih standarda nužno je koristiti nacionalnu legislativu, strukovna pravila, zahtjeve pojedinih agencija (ovisno o djelatnosti firme), te već postojeće pravilnike unutar organizacije, a ponekad i ugovorne elemente s poslovnim partnerima.

Ovdje ću samo u kratkim crtama nabrojati jedan manji dio dodatnih standarda koje bi se moralo koristiti ako se želi stvarna efikasna uspostava ISMS i certifikat prema ISO 27001.

Osnovni – nezaobilazni skup standarda koje je nužno koristiti su: ISO 27000, ISO 27001, ISO 27002, ISO 27005, (ISO 27003 i ISO 27004 za sada nisu još objavljeni, ali su izuzetno važni), ISO 9001, ISO 19011, te ISO/TR 10017:2003. Za specijalne fime tu su još standardi: ISO/IEC 27011, ISO/IEC 27779. Familija standarda serije 27k i međusobni odnosi prikazani su na donjoj slici (standardi označeni crnom bojom koriste se za certifikaciju):

Pored toga postoji još niz drugih standarda koje od slučaja do slučaja treba također primjenjivati pri implementaciji ISMS: ISO/IEC TR 13335 (1-5), ISO/IEC TR 18044, BS 25999. Uz to, veliki broj tehničkih standarda koji se propisuju za neke specifične aktivnosti unutar ISMS, a koriste se na nivou uputstava, kao npr: ISO/IEC 7816-4, ISO/TR 9564-4, ISO/TR 13569, ISO/IEC 18033-2, ISO/IEC 24759, ISO/IEC TR 15443-3, ISO/IEC 14888-3, ISO/IEC 21827, itd, itd, itd. Ta lista sigurno nije ni blizu konačna. Izbor standarda koji će se stvarno koristiti, od ovih gore navedenih, kao i nekih drugih dodatnih, isključivo zavisi od djelatnosti organizacije i tehnološke opremljenosti informacijskog sustava, ali i nivoa zahtjeva i želje uprave za kvalitetom uspostavljenog ISMS.

Na žalos nekih “stručnjaka” ni to nije sve. Ako se u organizaciji koristi pored ISMS i više drugih menadžment sustava (npr. QMS, EMS, FSMS, OHSAS, HACCP, ITIL, Service Managemen, itd), mora se razmišljati, pripremati i provoditi integraciju svih tih sustava upravljanja na temelju ISO 9001 ili još bolje prema PAS 99.

Kada se uzmu u obzir svi ti standardi, ili barem nužni skup standarda, onda se stvarno može reći da samo ISO 27001 nije dovoljan za implementaciju, certifikaciju, održavanje i poboljšanje ISMS. Ali, nemojmo biti nepošteni i da ne kažemo da je ista situacija ako želite implementirati i neki drugi menadžment sustav, kao npr: QMS, EMS, OHAS, FSMS, ITIL, BASEL II, itd.

Na kraju, umjesto zaključka, važno je napomenuti: ne postoji menadžment standard u ni jednom području koji je sam po sebi dovoljan za implementaciju i certifikaciju !!!