Oferta  
|
|
|
|
  e-Learning  
|
|
|
  Praca  
|
  Referencje  

Blok doradczy

Prezentujemy Państwu podsumowanie wszystkich pytań dotychczas zadanych w ramach cyklu "E-mailowych Bloków Doradczych"

Przypominamy, że jeśli chcą państwo zadać pytanie, można to zrobić to po kliknięciu na link:
sos@centrum-doskonalenia.pl


OSTATNIO DODANE PYTANIA:

WSZYSTKIE PYTANIA:

    AUDIT

    Audit

    CERTYFIKACJA

    DANE OSOBOWE

    FSC

    ISO 19011

    ISO 27001

    ISO 62304

    ISO 9001

    PN-N 18001

    • Czy warto i jakie są korzyści wdrożenia systemu zarządzania bezpieczeństwem i higieną pracy zgodnego z wymaganiami normy PN-N 18001?

      • Proszę o pomoc w zaplanowaniu audytu wewnętrznego potwierdzającego skuteczność procesów komunikacyjnych w firmie.

      Odpowiedź: :

      1) Jeśli chodzi o spełnienie wymagania 5.5.3 to możemy zacząć od przyjęcia pracownika do pracy:

      - skąd wie, czego się od niego oczekuje i jakie są jego zadania, uprawnienia i odpowiedzialność
      - w jaki sposób sposób zostało mu to zakomunikowane

      2) Pozostali pracownicy

      - skąd dowiadują się o zmianach... i
      - w jaki sposób przełożony (lub ktoś inny - kto?) przekazuje im nowe informacje, wytyczne, zmiany itp.
      - kiedy ostatnio taka sytuacja miała miejsce
      - znajomość polityki jakości (powinna być zakomunikowana...)

      3) Kierownicy - osoby odpowiedzialne za poszczególne obszary/ procesy

      - podobnie jak pracownicy, w jaki sposób dowiadują się o zmianach, które ich dotyczą
      - w jaki sposób oni sami przekazują informację swoim przełożonym, Najwyższemu Kierownictwu
      - jeśli biorą udział w przeglądzie kierownictwa, to w jaki sposób komunikują wyniki przeglądu właściwym pracownikom,
      jeśli jest taka konieczność (dobrze zweryfikować na rzeczywistym przykładzie z raportu z przeglądu)
      - w jaki sposób dowiadują się o wynikach audytów wewnętrznych, które zostały u nich zrealizowane
      - w jaki sposób przekazują informacje o niezbędnych lub zakończonych działaniach korygujących i zapobiegawczych

      4) Najwyższe Kierownictwo

      - zagadnienia zwiazane z przeglądem kierownictwa - sposób zbierania danych wejściowych, komunikowanie w firmie decyzji - danych wyjściowych.

      Powrót

      Co decyduje o sukcesie w czasie nawiązywania pierwszego kontaktu z Auditowanym? Jak zrobić dobre wrażenie, co może pomóc w przeprowadzeniu auditu?

      Odpowiedź: :

      Pierwsze wrażenie jest bardzo istotne w audicie, pomaga nawiązać dobry kontakt z auditowanym. Dobry start często przekłada się na dobry wynik końcowy.
      Badania pokazują, że "pierwsze 20 sekund, pierwsze 20 min, pierwsze 20 gestów i pierwsze 20 słów".
      Przedstawiając to w formie bardziej rozbudowanej:
      Na pierwsze wrażenie składają się:
      - Uśmiech
      - Postawa
      - Kontakt wzrokowy
      - Używanie słów: proszę, dziękuję
      - Człowieka postrzegamy jako całość
      - Zwracamy uwagę na charakterystyczne detale
      - Stereotypy
      - Efekt aureoli
      Kolejność postrzegania cech nowo poznanej osoby:
      - Rasa
      - Płeć
      - Wiek
      - Wzrost
      - Wyraz twarzy, oczy, włosy
      - Ubiór
      - Ruchy i postawa
      Później oceniamy (każdy w innej kolejności) inne cechy, takie jak:
      - Atrakcyjność
      - Osobowość, temperament
      - Wykształcenie
      - Osiągnięty sukces
      - Zalety moralne
      - Maniery
      - Stan majątkowy
      - Pozycję w firmie
      - Pozycję społeczną
      Na postrzeganie wiarygodności danej osoby wpływa:
      - fachowość, rzetelność
      - entuzjazm
      - wygląd i ubiór
      Na Twój wygląd składa się:
      - Wyraz twarzy. Pamiętaj o uśmiechu!
      - Postawa: sylwetka komunikacyjna otwarta, w przypadku rozmowy na siedząco pamiętaj o lekkim wychyleniu do rozmówcy,
      wyrazie zainteresowania, utrzymaniu kontaktu wzrokowego, pamiętaj o nie stosowaniu barier z rąk i nóg.
      - Ręce: powinny być czyste i zadbane. Zegarek na ręku klasyczny.
      - Włosy dobrze ostrzyżone i ułożone, nie rozpuszczone.
      - Higiena osobista - pamiętaj o schludnym wyglądzie. Praktycznie 80% uwagi rozmówca poświęca ustom, zadbaj, więc również o wygląd zębów.
      - W biurze obowiązują buty bez odkrytych pięt.
      Ubiór musi być odpowiednio dobrany do Ciebie, ale również należy pamiętać o savoir- vivre w biurze oraz wymaganiach tzw. kultury organizacyjnej.

      Powrót

      Mam zaplanować i zrealizować dwa audity wewnętrzne, w dziale marketingu (z naciskiem na przetargi i ofertowanie), drugi w dziale kadr i księgowości. Proszę o pomoc w ich przygotowaniu, od czego zacząć i na co zwrócić szczególną uwagę przy ich przygotowywaniu i przeprowadzaniu?

      Odpowiedź: :

      Na początku trzeba zaplanować przebieg audytu, to z kim w jakich godzinach i gdzie będziemy rozmawiać, dobrze jest również podać zakres omawianych tematów, żeby audytowany mógł się przygotować. Taki plan wraz z zakresem należy przesłać najpóźniej na tydzień przed audytem do osób zainteresowanych.

      Jeżeli chodzi o zakres omawianych zagadnień to w odniesieniu do działów powinien on zawierać takie elementy:

      marketing:
      * planowanie działań (cele jakościowe, plany, budżety i ich realizacja)
      * orientacja na klienta,
      * przegląd wymagań klienta,
      * zgodność z prawem,
      * nadzór nad zapisami i dokumentami,
      * ocena satysfakcji klienta i wynikające z niej postępowanie,
      * odpowiedzialności i uprawnienia,
      * zasoby,
      * realizacja wyrobu,
      * zakupy (podwykonawcy w zakresie marketingu),

      * kadry i księgowość: zgodność z prawem, w tym dane osobowe i ustawy o rachunkowości, podatkach itp
      * monitorowanie zmian w przepisach
      * nadzór nad zapisami i dokumentami,
      * kompetencje, odpowiedzialności i uprawnienia - umowy o pracę itp
      * szkolenia i ocena skuteczności szkoleń

      * Wszyscy znajomość polityki jakości,

      Powrót

      Chciałbym się dowiedzieć jak powinno wyglądać udokumentowanie zgodności z normą w raporcie z auditu.

      Odpowiedź: :

      Ponieważ, zgodnie z ISO 19011 audit to systematyczny, niezależny i udokumentowany proces uzyskania dowodu z auditu oraz jego obiektywnej oceny w celu określenia stopnia spełnienia kryteriów auditu, a dowód to racjonalna podstawa uzyskiwania wiarygodnych i powtarzalnych wniosków. Raport z auditu powinien zawierać dowody, przede wszystkim na zgodność z normą.
      Odnosząc się do wytycznych i dobrych praktyk m.in. z normy ISO 19011 „Wytyczne dotyczące auditowania systemów zarządzania jakością i/lub zarządzania środowiskowego”oraz zgodnie z wytycznymi międzynarodowej organizacji IRCA, stanowiącej wymagania dla auditorów wiodących i zasad przeprowadzania audytów poniżej przedstawiam przykładowy fragment raportu z Audytu, który wg mnie spełnia wszystkie ww. kryteria.
      Zakupy 4.2.4; 7.4
      Organizacja podeszła do zagadnień zakupowych w sposób systemowy opierając swoje decyzje o wyborze dostawców na wynikach szacowania ryzyka oraz na kryteriach jakie zastosowała do oceny. Dokonano formalnej oceny dostawców, jej wyniki były dostępne.
      Do głównych dostawców, z których usług korzysta organizacja należą:
      xxxx- dostawca energii elektrycznej
      xxxx-dostawcy usług telekomunikacyjnych, dwóch dostawców zapewnia zastępowalność usług; itd.
      Kompletacja zamówień – zazwyczaj raz w miesiącu prowadzi osoba z biura.
      Zamówienia pod klientów dokonuje xxxx – zatwierdzeniem zamówienia zajmuje się Prezes.
      Osoba odbierająca odpowiada za kontrolę odbiorczą dostaw. Prowadzone to jest w systemie zamówień.
      Zweryfikowane dokumenty:
      • Zamówienie nr xxxx z dnia 1.01.2011 wraz z fakturą nr xxx z dnia 2.01.2011 dot. Realizacji zamówienia „produktu”; itd.
      • Potwierdzienie odbioru dostaw w/w zamówień przez pracownika działu xxx.
      • Procedura „Dobór i ocena dostawców usług” z dnia 15.02.2011
      • Wyniki oceny dostawców z dnia 7.03.2011...

      Powrót

      Na jakich drukach wpisujemy protokół/raport z przeprowadzonego auditu?Czy należy wyznaczyć czas na usunięcie ewentualnych niezgodności i kiedy należy sprawdzić sposób (jeśli należy) w jaki zostały one usunięte/załatwione?Czy przeprowadzając audit w innej (nie swojej, macierzystej) firmie wystarczy okazać się certyfikatem, czy należy pozostawić jego ksero?

      Odpowiedź: :

      Ad1) Wzór raportu z auditu nie jest określony w normie, ale zazwyczaj zawiera on następujące informacje:

      - nr i data auditu
      - auditorzy i auditowani (osoby)
      - cel, zakres i kryteria z auditu (np. Weryfikacja skuteczności funkcjonowania systemu zarządzania jakością wg ISO 9001, procedur wewnętrznych oraz obowiązującego prawa w dziale Sprzedaży)
      - ustalenia z auditu (opis przebiegu auditu, ze wskazaniem zgodności z wymaganiami)
      - niezgodności, obserwacje, propozycje doskonalenia.

      Ad2) W przypadku auditu wewnętrznego auditor może, ale nie musi określać ilość czasu potrzebną do usunięcia niezgodności. Działania korygujące (a o takich tu mówimy) nie są częścią auditu. Auditor wskazuje niezgodność, jej usunięcie jest zazwyczaj nadzorowane przez Pełnomocnika. Sposoby postępowania w takich sytuacjach powinny być opisane w procedurze Audity wewnętrzne. Podobnie jest z oceną skuteczności podjętych działań. Auditor może przeprowadzać taką ocenę, ale równie dobrze procedura nadzoru nad działaniami korygującymi może stanowić inaczej.

      Ad3) Jeśli przeprowadzamy audit wewnętrzny w innej firmie, Pełnomocnik w zasadzie powinien poprosić auditora o potwierdzenie jego kompetencji do przeprowadzania auditów. Stąd zazwyczaj Pełnomocnicy chcą mieć ksero.

      Powrót

      1. Czy zawsze mogę prosić o księgę jakości jednostki audytowanej, aby poznać procedury danego działu, który będę audytowala?
      2. Moje pytanie dotyczy laboratorium firmy w której pracuję. Mamy tu zestaw narzędzi, ale nie wszystkie używamy i nie wszystkie są systematycznie wzorcowane. Czy, powinnam usunąć karty narzędzi nie używanych i wyjąć je z rejestru? Czy powinnam założyć rejestr narzędzi nie używanych?

      Odpowiedź: :

      Audytor zawsze może a wręcz powinien sięgać do dokumentacji obszaru, który audytuje - dotyczy to również księgi jakości laboratorium. Zgodnie z wytycznymi ISO 19011 kryteriami audytu, czyli podstawą do oceny funkcjonowania systemu zarządzania oprócz normy, są również wewnętrzne procedury.

      Wszystkie używane narzędzia muszą być nadzorowane. Jeżeli posiadacie narzędzia, które nie są używane i w związku z tym nie są wzorcowane należy uniemożliwić ich przypadkowe użycie. Zgodnie z pkt. 7.6 dodatkowo należy oznaczyć status urządzenia, czyli w tym przypadku jeśli są one dostępne, to oznaczenie powinno jednoznacznie wskazywać, że nie jest ono wzorcowane. A najlepiej je usunąć (zamknąć?).

      Nie ma potrzeby zakładania rejestru narzędzi nieużywanych, lepiej oznaczyć same urządzenia lub je skutecznie zabezpieczyć przed użyciem.

      Powrót

      Czy audytor wewnętrzny powinien mieć wgląd w teczki pracowników - zawierające dane osobowe pracowników? Czy audytor powinien podpisać klauzulę poufności?

      Odpowiedź: :

      Norma nie precyzuje tego zagadnienia, niemniej odrębne przepisy prawa regulują zasady i warunki dostępu do teczek osobowych pracowników. Audytor wewnętrzny nie powinien mieć wglądu w teczki osobowe pracowników, o ile jego zakres obowiązków tego nie umożliwia. Nie wiem też do końca czemu miałby służyć taki wgląd w teczki? Rozumiem, że chodzi o sprawdzenie kompletności teczek, zakresów obowiązków, szkoleń itp.; to wszystko jednak można sprawdzić bez przeglądania teczek. Dobrą praktyką jest rozmowa z osobą odpowiedzialną za prowadzenie teczek osobowych w firmie i na przykładzie jednej teczki (audytor nie powinien wiedzieć kogo to teczka) sprawdzenie: czy teczka jest kompletna, skąd wiemy, że jest kompletna, skąd wiemy co powinno być w środku itp. i np, czy odbyło się szkolenie BHP, proszę mi pokazać dowód z tego szkolenia, wtedy audytowany zasłania dane osobowe pracownika i pokazuje np certyfikat ze szkolenia z datą. W świetle wymagań normy i dobrych praktyk jest to jak najbardziej wystarczający dowód na spełnienie wymagań, a szukanie dowodów na spełnienie wymagań jest właśnie celem audytów. Jeżeli chodzi o klauzulę poufności polecam z praktyki żeby każdy audytor niezależnie od obszarów, które audytuje miał taką klauzulę podpisaną, a już w przypadkach kiedy audytuje obszary wrażliwe dla organizacji koniecznie.
      Co do zapisów w procedurze audytów norma nie wymusza takich stwierdzeń i tutaj decyzja należy do państwa.

      Powrót

      W Firmie odbył się audyt przeprowadzony przez jednostkę certyfikującą. Proszę o pomoc w kwestii działań, poauditowych, które powinny zostać podjęte, gdzie zapisać to co się zdarzyło.

      Odpowiedź: :

      Najlepszym źródłem informacji jest sam audytor w trakcie audytu, a dopiero potem zapisy w jego raporcie.

      1. Obszary do poprawy – podniesienie kwalifikacji audytorów wewnętrznych.
      Odp: Sugeruję zorganizowanie szkolenia doskonalącego dla audytorów wewnętrznych - zapis w raporcie pojawił sie najprawdopodobniej z dwóch powodów: od dawna nie było żadnego szkolenia dla audytorów, lub raporty z audytu są niskiej jakości.

      2. Doskonalenie metodologii auditu wewnętrznego z naciskiem na uwzględnienie jako jeden z celów auditu doskonalenie systemu zarządzania.
      Odp: w powiązaniu z pierwszym zapisem wydaje mi się, że audytor sugeruje jednak, że przeprowadzane audyty są słabe: np.: obejmują tylko wybrane fragmenty, brak jest dowodów na zgodność/niezgodność, brak opisów, ustaleń itp. Rozwiązaniem może być organizacja szkoleń i warsztatów doskonalących (jak w pkt. 1) lub zlecenie przeprowadzenia audytów wewnętrznych na zewnątrz (np. nam lub podobnej firmie)

      3. Doskonalenie metodologii projektowania z naciskiem na uwzględnienie jako jeden z celów przeglądu doskonalenie systemu zarządzania.
      Odp.: Ten zapis jest mocno niejasny - nie bardzo wiem, co audytor miał na myśli wiążąc doskonalenie projektowania z przeglądem doskonalenia!? O co może chodzić:
      - o poprawienie metodologii projektowania - coś w projektowaniu audytorowi nie podobało się - wskazany dowód może pomóc w zidentyfikowaniu tego miejsca - i tu trzeba coś poprawić;
      - o uwzględnienie w przeglądach projektowania (wymaganych normą) kwestii doskonalenia (!?)
      - o uwzględnienie w przeglądach doskonalenia systemu zarządzania (może chodzi o przegląd zarządzania lub może Państwa system zakłada przeprowadzanie czegoś takiego jak przeglądy doskonalenie systemu zarządzania - norma wymaga przeglądu zarządzania) doskonalenia.

      Ostatnie zagadnienie krąży wokół tematu doskonalenia w projektowaniu - albo jego braku, albo doskonalenie występuje,ale "poza" systemem.

      Powrót

      W trakcie audytu certyfikującego będzie przeprowadzona rozmowa z przedstawicielem zarządu firmy. Oprócz polityki jakości, jaki zakres pytań trzeba brać pod uwagę?

      Odpowiedź: :

      Podczas audytu Najwyższego Kierownictwa należy się spodziewać pytań dotyczących
      przede wszystkim pkt 5. Odpowiedzialność kierownictwa.
      Mogą one dotyczyć:
      - planowania, budżetowania dla całej firmy
      - odpowiedzialności, uprawnień i komunikacji - w jaki sposób są ustalane, co jest brane
      pod uwagę podczas ich ustanawiania itp,
      - celi jakości i ich osiąganie
      - przeglądu kierownictwa (raport z przeglądu), a szczególnie o mierniki celów jakości oraz
      działania, które wyniknęły z przeglądu...
      Drugim punktem jest pkt 6. Zarządzanie zasobami.
      Pytania mogą dotyczyć zapewnienia zasobów - czy są wystarczające (ilość, rodzaj,
      kompetencje itp) oraz szkoleń - ale nie szczegółowo, tylko bardziej pod kątem planowania (budżet) itp.

      Powrót

      Mamy problem w związku z zapowiedzianą kontrolą GIODO, chciałabym wobec tego zapytać: - Czy należy zgłosić do rejestracji GIODO zbiór danych osób zamawiających usługę newsletter? - Czy mam obowiązek zgłoszenia do rejestracji zbioru danych, jeśli są to aplikacje kandydatów do pracy (CV), przechowywane za zgodą kandydatów, do celów rekrutacji?

      Odpowiedź: :

      ad.1
      Tak, zbiór danych osób zamawiających za pośrednictwem strony internetowej wiadomości newsletter należy zgłosić do rejestracji GIODO. Aby zamówić newsletter należy wpisać swój adres e-mail, który w rozumieniu ustawy o ochronie danych osobowych stanowi dane osobowe. Osoby zainteresowane otrzymywaniem newslettera z założenia podają dobrowolnie swój adres e-mail.
      Pozyskane w ten sposób adresy e-mail stanowią
      zbiór danych osobowych, w rozumieniu art. 7 ust. 1 ustawy, zgodnie z którym zbiór danych rozumiany jest jako każdy posiadający strukturę zestaw danych o charakterze osobowym, dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest rozproszony lub podzielony funkcjonalnie.
      Biorąc pod uwagę cel, dla którego dane osobowe są gromadzone oraz jego przeznaczenie, stwierdzić należy, że nie zachodzą w tym przypadku przesłanki wskazane w art. 43 ust. 1 ustawy, zwalniające z obowiązku zgłoszenia zbioru danych osobowych do rejestracji. Zatem zbiór danych zawierający adresy e-mail osób, które chcą otrzymywać newsletter, należy zgłosić Generalnemu Inspektorowi Ochrony Danych Osobowych do rejestracji.

      ad.2
      Zbiór kandydatów do pracy zwolniony będzie z obowiązku jego zgłoszenia do rejestracji na podstawie art. 43 ust. 1 pkt 4 ustawy o ochronie danych osobowych. Przepis ten, w brzmieniu obowiązującym od dnia 1 maja 2004 r. (zmienionym na skutek nowelizacji ustawy o ochronie danych osobowych dokonanej ustawą z dnia 22 stycznia 2004 r. o zmianie ustawy o ochronie danych osobowych oraz ustawy o wynagrodzeniu osób zajmujących kierownicze stanowiska państwowe, Dz. U. Nr 33, poz. 285) stanowi, iż z obowiązku zgłoszenia zbioru danych do rejestracji zwolnieni są administratorzy danych przetwarzanych w związku z zatrudnieniem u nich, świadczeniem im usług na podstawie umów cywilnoprawnych, a także dotyczących osób u nich zrzeszonych lub uczących się. Zwolnienie z obowiązku zgłoszenia zbioru danych do rejestracji nie oznacza automatycznie zwolnienia ich administratora z konieczności przestrzegania przepisów o ochronie danych osobowych i dopełnienia innych, określonych w nich obowiązków, takich jak opracowanie polityki ochrony danych osobowych, instrukcji zarządzania systemem informatycznym przetwarzającym dane osobowe i wszelkich upoważnień i oświadczeń.

      Powrót

      Na kim spoczywa obowiązek zgłoszenia zbioru danych osobowych do rejestracji?

      Odpowiedź: :

      Na administratorze danych spoczywa wynikający z art. 40 ustawy obowiązek zgłoszenia zbioru danych osobowych do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych. Wyjątki od tej zasady wyliczone zostały w art. 43 ust. 1 ustawy.
      Każdy administrator przed zgłoszeniem zbioru powinien sprawdzić, czy prowadzony przez niego zbiór nie podlega, w myśl tych przepisów, zwolnieniu z obowiązku zgłoszenia do rejestracji. Zwolnienie z tego obowiązku nie oznacza zwolnienia z pozostałych obowiązków wynikających z przepisów o ochronie danych osobowych

      Powrót

      Czy dane osobowe są powiązane z Polityka Bezpieczeństwa Informacji (m.in. z normami ISO).Czy powołanie ABI (Administrator Bezpieczeństwa Informacji) może się łączyć z funkcją pełnomocnika ISO (m.in. bezpieczeństwa informacji w organizacji)? Czy powinnam jednak przejść dodatkowe szkolenia albo mieć dodatkowe uprawniania, wiedzę?

      Odpowiedź: :

      Ad.1. Dane osobowe są powiązane z wymaganiami ISO 27001, m.in. w Załączniku A, pkt 15.1.4 "Ochrona danych osobowych i prywatność informacji dotyczących osób fizycznych" oraz jako bardzo istotne aktywo firmy. Patrząc z punktu widzenia ISO 9001 jest to ujęte jako wymaganie wynikające z wymagań prawnych - ustawa o ochronie danych osobowych, ale również w pkt. 7.5.4 "Własność klienta".

      Ad.2. W zasadzie nie ma przeszkód w łączeniu tych funkcji, o ile Pełnomocnik ds ISO posiada wiedzę i kompetencje (głównie po stronie IT) umożliwiające wykonywanie zadań ABI zgodnie z ustawą o ochronie danych osobowych. Należy jednak pamiętać, że generalnie zadania Pełnomocnika ISO obejmują znacznie większy obszar wymagań, który zawiera w sobie dane osobowe.

      Ad.3. Ustawa o ochronie danych osobowych nie wymusza dodatkowych szkoleń itp. niemniej jednak fakt powołania ABI powinien zostać udokumentowany a zakres obowiązków i uprawnień określony. Uwaga: jeżeli w firmie nie zostanie powołany ABI, to funkcję ABI pełni Administrator Danych, czyli Kierownictwo (Prezes). ABI jest wiec "zbrojnym" ramieniem Kierownictwa, odpowiedzialnym za kwestie operacyjne, związane z ochrona danych osobowych - reasumując arto szkolenie dla ABI przejść, żeby poznać zadania ABI i sposoby ich realizacji.

      Powrót

      Wymogi ustawy o ochronie danych osobowych narzucają stworzenie Instrukcji zarządzania systemem informatycznym, chciałbym się dowiedzieć, co powinna zawierać w takiej instrukcji np. procedura nadawania uprawnień w systemie informatycznym.

      Odpowiedź: :

      Może być np.:

      Procedura nadawania uprawnień w systemie informatycznym służącym do przetwarzania danych osobowych.

      1. Utworzenie konta użytkownika związane z dostępem do aplikacji lub systemu przetwarzającego dane osobowe następuje z uwzględnieniem poniższych zasad:

      * konto można nadać jedynie osobie posiadającej pisemne upoważnienie do przetwarzania danych osobowych w firmie,
      * wniosek o nadanie dostępu składa przełożony danego użytkownika,
      * wniosek określa proponowany zakres dostępu do danych /profil/, który musi być zgodny z zakresem upoważnienia,
      * wniosek o przyznanie uprawnień do aplikacji może być w postaci papierowej lub elektronicznej.
      * wniosek akceptuje Właściciel danego zasobu danych osobowych,

      2. Wniosek jest przesyłany do akceptacji do danego Właściciela zasobu danych osobowych.

      3. Jeżeli przełożony użytkownika jest Właścicielem zasobu automatycznie akceptuje wniosek.

      4. Właściciel zasobu danych akceptuje wniosek przez własnoręczny podpis i pieczęć lub podpis elektroniczny. Zatwierdzenie wniosku jest równoznaczne z upoważnieniem użytkownika do przetwarzania danych w systemie informatycznym, w zakresie wskazanym we wniosku,

      5. Wniosek po uzyskaniu akceptacji kierowany jest do administratora systemu do realizacji.

      6. Administrator systemu zakłada konto użytkownika w systemie o odpowiednim identyfikatorze zabezpieczone hasłem tymczasowym, którego zmiana jest wymuszona przy pierwszym zalogowaniu użytkownika zgodnie z ogólnymi zasadami panującymi w organizacji i szczegółowymi instrukcjami operacyjnymi specyficznymi dla danego systemu.

      7. Do zmiany uprawnień użytkownika znajdują odpowiednie zastosowanie punkty 1-5.

      8. Wniosek o przyznanie lub zmianę praw dostępu jest przechowywany przez administratora systemu. Kopia wniosku przesyłana jest do ABI.

      9. Konto zostaje usunięte przez administratora systemu na wniosek szefa jednostki organizacyjnej. Administrator systemu o fakcie usunięcia konta informuje ABI.

      Powrót

      Czy wszystkie organizacje podlegają wymaganiom Ustawy o Ochronie Danych Osobowych? Jeśli tak, to jaką dokumentację na tą okoliczność należy posiadać?

      Odpowiedź: :

      Ustawie podlegają wszystkie organizacje, które zatrudniają pracowników (dane osobowe pracowników) lub przetwarzają dane osobowe osób fizycznych (np. sklepy wysyłkowe posiadają dane osobowe klientów).

      Powyższe przypadki różnią się od siebie tylko obowiązkiem zgłoszenia zbioru danych osobowych do GIODO. W pierwszym przypadku takiego obowiązku nie ma, w drugim zgłoszenie jest wymagane.

      Dokumentacja wymagana rozporządzeniem to:
      - polityka bezpieczeństwa
      - instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych

      Elementami, które powinny być częścią w/w dokumentacji są upoważnienia do przetwarzania danych osobowych, ewidencje osób upoważnionych, umowy powierzenia przetwarzania, (jeśli udostępniamy dane na zewnątrz, np. do centrum medycznego!).

      Powrót

      Planujemy wdrożyć u siebie FSC, chciałbym się dowiedzieć jakie są podstawowe wymagania tej normy?

      Odpowiedź: :

      Podstawowe wymagania obejmują trzy główne aspekty: identyfikacja, segregacja i dokumentacja.

      Identyfikacja - wszystkie produkty wyprodukowane z surowców pochodzących z certyfikowanych źródeł (lasów lub tartaków) są jednoznacznie i wyraźnie oznaczone;

      Segregacja - wszystkie produkty pochodzące z certyfikowanych źródeł są oddzielone od innych produktów (wyłączając system kredytowy);

      Dokumentacja- istnieją procedury i instrukcje robocze oraz dokumentacja dotycząca: zakupu i magazynowania surowca, produkcji i magazynowania wyrobów finalnych;

      Powrót

      1) Czy norma 19011, wymaga, żeby audytorzy wewnętrzni mieli wpisane w zakresie obowiązków pracownika przeprowadzanie audytów?

      Odpowiedź: :

      Nie, norma ISO 19011 nie wymaga takich zapisów. W normie ISO 19011 znajdują się tylko zalecenia (a nie wymagania!) dotyczące np. ustalenia odpowiedzialności za zarządzanie programem auditów, ról i odpowiedzialności poszczególnych członków zespołu audytowanego (w tym audytorów) itp. Natomiast podejrzewam, że intencją tego pytania może być kwestia, czy audytorzy wewnętrzni powinni mieć wpisane w zakresie obowiązków pracownika przeprowadzanie audytów. Zgodnie z ISO 9001 odpowiedzialności powinny być ustanowione i zakomunikowane (norma nie wprowadza obowiązku ich dokumentowania, kodeks pracy również tego nie wymaga!), ale jeśli pracownicy posiadają zakresy odpowiedzialności/ obowiązków to moim zdaniem, brak jest argumentów uzasadniających nie wpisanie takiej odpowiedzialności do zakresu obowiązków lub gdziekolwiek indziej - tak, żeby taka odpowiedzialność była jasno przypisana do konkretnego audytora.

      Powrót

      2) Czy kierownicy muszą mieć w zakresie obowiązków zapis mówiący o przygotowywaniu i aktualizacji dokumentów ISO?

      Odpowiedź: :

      Nie muszą, ale w takiej sytuacji system musi być przygotowany na odpowiedź, kto i w jakim zakresie przygotowuje i nadzoruje obowiązującą dokumentację w firmie? (końcówka ISO tu nie jest potrzebna - wdrożenie systemu oznacza, że cała dokumentacja funkcjonująca w organizacji staje się dokumentacją "ISO"). Zazwyczaj jest to opisane w procedurze "Nadzoru nad dokumentacją".
      Podsumowując: odpowiedzialność za przygotowanie i aktualizację dokumentacji musi być jasno i skutecznie określona. Można to zrealizować poprzez zapisy w zakresach obowiązków, w procedurach, regulaminach organizacyjnych itp. Zalecana jest forma udokumentowania odpowiedzialności, ale nie jest wymagana.

      Powrót

      W związku z planowanym przez nas wdrożeniem ISO 27001 proszę o więcej informacji na ten temat - wymagania prawne, jakie dokumenty będą potrzebne w związku z wdrożeniem itd. Może mogą Państwo udostępnić normę z ww. zakresu?

      Odpowiedź: :

      Jeśli chodzi o wymagania prawne, to oczywiście przede wszystkim należy zidentyfikować specyficzne wymagania prawne, które dotyczą firmy, ze szczególnym uwzględnieniem ochrony danych osobowych oraz praw autorskich (legalności oprogramowania). Najlepiej zrobić to w postaci rejestru, zestawienia. W skład wymaganej dokumentacji wchodzi: - polityka bezpieczeństwa - polityka dostępu, zasady postępowania, klasyfikacja informacji, zarządzanie incydentami, polityka kopii zapasowych, ciągłość działania itp. - metodyka szacowania ryzyka - raport z analizy ryzyka - plan postępowania z ryzykiem - pomiar skuteczności zabezpieczeń - plany ciągłości działania - procedury systemowe: nadzór nad dokumentami i zapisami, audyty wewnętrzne, działania korygujące i zapobiegawcze itp. - deklaracja stosowania i inne wynikające z wyboru zabezpieczeń w deklaracji stosowania

      Powrót

      W związku z tworzeniem księgi procedur bezpieczeństwa, chciałbym się dowiedzieć jak powinny mniej więcej wyglądać zasady współpracy z osobami trzecimi, które będą przebywać na terenie spółki.

      Odpowiedź: :

      Zasady współpracy z osobami trzecimi

      Goście oraz inne osoby przebywające na terenie Spółki nie będące pracownikami są zobowiązane do przestrzegania następujących zasad:
      - reguł bhp;
      - reguł bezpieczeństwa przeciwpożarowego;
      - wpisania się w księdze gości, tam gdzie jest to wymagane.
      Każda osoba nie będąca pracownikiem Spółki, która wykonuje prace zlecone, z którymi wiąże się dostęp do informacji chronionych przez Spółkę zobligowana jest do podpisania oświadczenia o zachowaniu poufności.
      Osoby niezatrudnione w Spółce mogą otrzymać od Pełnomocnika Bezpieczeństwa Informacji lub Właściciela Aktywu prawo dostępu fizycznego lub/i logicznego do informacji, jeżeli jest to niezbędne do realizacji obowiązków Spółce wobec klientów lub do bieżącego funkcjonowania Spółki;
      - dają one gwarancję zachowania poufności;
      - podpisały ze Spółką oświadczenie o zachowaniu tajemnicy przedsiębiorstwa lub umowę określającą odpowiedzialność za naruszenie poufności.
      Osobom tym powinno zostać odebrane prawo dostępu po wygaśnięciu przyczyny udzielenia w/w dostępu np. po wykonaniu zleconej pracy.

      Powrót

      Jak oceniać stan techniczny zabezpieczeń (zgodnie z wymaganiami normy ISO 27001)? Czy testy penetracyjne są jedyną dopuszczalną formą?

      Odpowiedź: :

      Testy penetracyjne to działania polegające na przeprowadzeniu symulowanego ataku na system teleinformatyczny. Cele testów penetracyjnych mogą być zróżnicowane, np. ogólne wyszukiwanie podatności, próba zdobycie konkretnej informacji lub też przełamanie konkretnych zabezpieczeń.
      Efektem takiego ataku powinno być zidentyfikowanie wszystkich słabych punktów systemu oraz wskazanie sposobów, dzięki którym potencjalny napastnik może naruszyć bezpieczeństwo badanego systemu teleinformatycznego. Tam gdzie to możliwe zazwyczaj wskazuje się również sposoby załatania konkretnej podatności..

      Testy penetracyjne nie są jedyną metodą oceny zabezpieczeń. Występują inne metody oceny stanu technicznego zabezpieczenia zasobów systemu informatycznego zgodne z normą ISO 27001.

      - testy kontrolne (sprawdzanie poprawności instalacji i konfiguracji systemu)
      - analiza systemowa zabezpieczeń (ocena bezpieczeństwa systemu informatycznego, np. przez firmę wdrażającą ISO 27001)
      - okresowe przeglądy stanu zabezpieczeń,
      - testy penetracyjne (identyfikacja słabych punktów systemu zabezpieczeń, symulacja włamań),

      Powrót

      Jak powinna wyglądać księgę procedur bezpieczeństwa? Czy istnieje jakiś spis dobrych praktyk w zakresie jej tworzenia.

      Odpowiedź: :

      Księga procedur bezpieczeństwa powinna być dostosowana do konkretnej organizacji, trudno więc wskazać jakiś uniwersalny
      przykład. Najważniejsze aspekty, które powinny być w niej poruszone, to:

      - Struktura zarządzania bezpieczeństwem i podział odpowiedzialności, np.:
      - Zasady współpracy z innymi podmiotami;
      - Kontrola dostępu,
      np.:
      - Kontrola dostępu do pomieszczeń biurowych
      - Kontrola dostępu do serwerowni...
      - Zasady nadawania uprawnień użytkowników
      - Zasady i korzystanie z haseł w systemach informatycznych
      - Ogólne zasady tworzenia bezpiecznych haseł
      - Zasady korzystania z systemów informatycznych
      - Logowanie i kończenie pracy,
      - Instalowanie programów
      - Zasady pracy na odległość
      - Zasady bezpieczeństwa informacji przy korzystaniu z poczty elektronicznej
      - Zarządzanie wymiennymi nośnikami
      - Kopie zapasowe
      - Klasyfikacja informacji
      - Podział rodzajów informacji w firmie,
      - Polityka czystego biurka
      - Polityka czystego ekranu
      - Zarządzanie incydentami
      - Zgodność
      - Wykaz aktów prawnych dotyczących firmy.

      Powrót

      Proszę o przykład wpisanej do polityki bezpieczeństwa procedury przeglądu kierownictwa wg ISO 27001, jakie dane wejściowe i wyjściowe uwzględnić?

      Odpowiedź: :

      przykład:

      Przeglądy SZBI realizowane przez kierownictwo

      Kierownictwo Firmy przeprowadza przeglądy SZBI organizacji nie rzadziej niż raz w roku w celu zapewnienia jego ciągłej poprawności, odpowiedniości i skuteczności. Przegląd zawiera ocenę możliwości doskonalenia i potrzeby zmian w SZBI, w tym deklaracji Zarządu i celów bezpieczeństwa. Wyniki przeglądów są udokumentowane na formularzu „Raport z przeglądu SZBI”, a odpowiednie zapisy są przechowywane.

      Dane wejściowe do przeglądu:

      * wyniki audytów i przeglądów SZBI,
      * informacje zwrotne od zainteresowanych stron,
      * techniki, produkty i procedury, które mogłyby być zastosowane w organizacji w celu ulepszenia realizacji i skuteczności SZBI,
      * status działań korygujących i zapobiegawczych,
      * podatności lub zagrożenia, do których nie było odpowiedniego odniesienia w poprzednim oszacowaniu ryzyka,
      * wyniki pomiarów efektywności,
      * działania podjęte na skutek poprzednich przeglądów realizowanych przez Zarząd,
      * jakiekolwiek zmiany, które mogłyby dotyczyć SZBI,
      * zalecenia dotyczące doskonalenia.

      Wyniki przeglądu realizowanego przez Zarząd powinny zawierać informacje dotyczące:

      * doskonalenia skuteczności SZBI,
      * uaktualnienia planu szacowania ryzyka i postępowania z ryzykiem,
      * modyfikacji procedur i zabezpieczeń dotyczących bezpieczeństwa informacji, jeśli to konieczne, w celu reakcji na wewnętrzne lub zewnętrzne zdarzenia, które mogą mieć konsekwencje dla SZBI, w tym zmiany:
      o wymagań biznesowych,
      o wymagań bezpieczeństwa,
      o procesów biznesowych mających wpływ na istniejące wymagania biznesowe,
      o przepisów prawa i wymagań nadzoru,
      o zobowiązań związanych wynikających z umów,
      o poziomów ryzyka i/lub kryteriów akceptacji ryzyka,
      * wymaganych zasobów,
      * udoskonalenia metod pomiaru efektywności zabezpieczeń.

      Powrót

      W jaki sposób powinna być prowadzona dokumentacja z testów?Czy dopuszczalne jest posiadanie tylko elektronicznych protokołów z testów?Jak często testować, na jakie kroki dzielić, testować tylko podczas tworzenia kroków milowych, czy podczas tworzenia każdej zmiany?

      Odpowiedź: :

      W przypadku wyrobów medycznych dokumentacja powinna być prowadzona w sposób zapobiegający nieautoryzowanym zmianom, więc jeśli będzie przechowywana w postaci elektronicznej, to powinna zostać odpowiednio zabezpieczona.

      Trudno jest odpowiedzieć na pytanie kiedy i jakie zmiany powinny być walidowane. Niemniej jednak każda zmiana powinna być testowana i odbierana, należy zarządzać konfiguracją, co ma również bezpośrednie przełożenie na zarządzanie zmianami. W zależności od wpływu zmiany na wyrób końcowy (analiza ryzyka) należy zastosować odpowiednie zasady postępowania:
      - w jakich przypadkach tylko testujemy - weryfikacja (zawsze!)
      - w jakich przypadkach walidujemy
      - dodatkowo, nawet jeśli nie było zmian czy incydentów - jaki jest nasz pomysł na okresową, regularną walidację.

      Powrót

      Normy wymagają zapewnienia zgodnego z prawem działania, wymagają żeby przypisy prawa były identyfikowane, aktualizowane i okresowo przeglądane. Czy mógłbym otrzymać jakąś przykładową listę wymagań prawnych? Chodzi mi o spis ustaw, bądź przepisów, do których należałoby zajrzeć w przypadku większości organizacji

      Odpowiedź: :

      Witam, nie wiem czy dokładnie o to chodzi:

      Wykaz aktów prawnych

      * ustawa o ochronie danych osobowych (Dz. U. z 2002, Nr 101, poz.926 z późn., zm.)
      * ustawa z dnia 15 września 2000 r. Kodeks spółek handlowych (Dz.U. z 2000r., Nr 94, poz. 1037, ze zm.);
      * ustawa z dnia 20 sierpnia 1997 r. o Krajowym Rejestrze Sądowym (tekst jednolity: Dz.U. z 2001r., Nr 17, poz. 209, ze zm.);
      * ustawa z dnia 23 kwietnia 1964 r. Kodeks Cywilny (Dz.U. z 1964, nr 16, poz. 93, ze zm.);
      * ustawa z dnia 27 lipca 2002 r. o szczególnych warunkach sprzedaży konsumenckiej oraz o zmianie Kodeksu cywilnego (Dz.U. z 2002r., Nr 141, poz. 1176, ze zm.);
      * ustawa z dnia 12 grudnia 2003 r. o ogólnym bezpieczeństwie produktów (Dz.U. z 2003r., Nr 229, poz. 2275);
      * ustawa z dnia 11 marca 2004 r. o podatku od towarów i usług (Dz.U. z 2004r., Nr 54, poz. 535, ze zm.);
      * ustawa z dnia 15 lutego 1992 r. o podatku dochodowym od osób prawnych (tekst jednolity: Dz.U. z 2000r., Nr 54, poz. 654, ze zm.);
      * ustawa z dnia 9 września 2000 r. o podatku od czynności cywilnoprawnych (tekst jednolity: Dz.U. 2005, Nr 41, poz. 399, ze zm.);
      * ustawa z dnia 12 stycznia 1991 r. o podatkach i opłatach lokalnych (tekst jednolity: Dz.U. z 2006r., Nr 121, poz. 844, ze zm.);
      * ustawa z dnia 26 czerwca 1974 r. Kodeks pracy (tekst jednolity: Dz.U. z 1998r., Nr 21, poz. 94, ze zm.);
      * ustawa z dnia 7 lipca 1994 r. Prawo budowlane (tekst jednolity: Dz.U. z 2003r., Nr 207, poz. 2016 ze zm.);
      * ustawa z dnia 22 sierpnia 1997 r. o ochronie osób i mienia (tekst jednolity: Dz.U. z 2005r., Nr 145, poz. 1221, ze zm.).

      Kodeks Karny
      * O prawie autorskim i prawach pokrewnych
      * O podpisie elektronicznym
      * O ochronie baz danych
      * O świadczeniu usług drogą elektroniczną

      Prawo Telekomunikacyjne
      * O informatyzacji działalności podmiotów realizujących zadania publiczne
      * O elektronicznych instrumentach płatniczych
      * O gromadzeniu, przetwarzaniu i przekazywaniu informacji kryminalnych
      * O ochronie niektórych praw konsumentów oraz odpowiedzialności za produkt niebezpieczny
      * O ochronie informacji niejawnych
      * Wszystkie inne specyficzne dla działalności organizacji

      Powrót

      W mojej obecnej firmie przygotowujemy dokument zatytułowany Klasyfikacja informacji. Czy w naszej klasyfikacji możemy wykorzystać klasyfikację z ustawy o informacjach niejawnych?

      Odpowiedź: :

      Oznaczenie informacji i dokumentów klauzulami opisanymi w w/w ustawach (tzn. poufne, tajne), zgodnie z treścią tych ustaw, jednoznacznie określa rodzaj informacji i dokumentów oraz zasady postępowania z nimi. Wykorzystanie tych klauzul do innych dokumentów i informacji, niespełniających kryteriów w/w ustaw w zasadzie doprowadza do sytuacji, w której osoby nieposiadające odpowiednich poświadczeń (np. do informacji tajnych) mogą mieć do nich dostęp. Taka sytuacja jest niezgodna z wymaganiami ustawy o informacjach niejawnych i nie ma znaczenia, że tak naprawdę, to nasze dokumenty nie są dokumentami tajnymi w rozumieniu tej ustawy. Stosując w/w klauzule powinniśmy je stosować zgodnie z wymaganiami właściwych ustaw.

      Często stosowanym zabiegiem jest używanie klauzuli np., "Poufne w Firmie" w celu odróżnienia jej od klauzuli "poufne". Ale zawsze najbezpieczniej jest nazywanie klauzul w sposób niebudzący zastrzeżeń (np. informacje chronione).

      Powrót

      Chciałem opracować podstawową listę procedur, minimum, które powinna posiadać organizacja (np. średniej wielkości) w obszarze bezpieczeństwa informacji. Czy są takie listy, zawierające te procedury? Jestem w trakcie przygotowywania takiej, ale nie chciałbym pominąć żadnej.

      Odpowiedź: :

      Poniżej prezentuję absolutne minimum dokumentacji SZBI:

      Dowody

      * Zakres i granice
      * Decyzja o wdrożeniu
      * Metodyka szacowania ryzyka
      * Raport z analizy ryzyka
      * Kryteria akceptacji ryzyk (w metodyce i raporcie)
      * Akceptacja ryzyk szczątkowych przez kierownictwo
      * Deklaracja stosowania
      * Plan postępowania z ryzykiem
      * Badanie efektywności zabezpieczeń (cele i wskaźniki)

      Polityki

      * A 5.1.1 Polityka bezpieczeństwa (Polityka i księga procedur)
      * A 11.1.1 Polityka kontroli dostępu (w Polityce)

      Procedury (zależne od wyboru zabezpieczeń w Deklaracji stosowania – Załącznik A)

      * Rejestr aktywów i właścicieli (w analizie ryzyka)
      * A 7.1.3 Akceptowalne użycie aktywów
      * A 10.1.1 Dokumentowanie procedur eksploatacyjnych
      * A 10.7.2 Niszczenie nośników
      * A 14.1.3 Plany ciągłości działania
      * A 15.1.1 Określenie odpowiednich przepisów prawnych

      Procedury systemowe

      * 4.3.2 Procedura nadzoru nad dokumentami
      * 4.3.3 Nadzór nad zapisami (udokumentowanie zabezpieczeń)
      * 6. Przeprowadzanie audytów wewnętrznych
      * 8.2 Działania korygujące
      * 8.3 Działania zapobiegawcze

      Powrót

      Audytor firmy certyfikującej przesłał formularz z dość szczegółowymi pytaniami, czy my, jako firma powinniśmy udzielać takich informacji przed audytem, czy w dobrym tonie będzie odmówić odpowiedzi?

      Odpowiedź: :

      Pytania przesłane przez audytora:
      1. Zabezpieczenia fizyczne dla każdej lokacji
      2. Liczba serwerów, połączenia z siecią telekomunikacyjną zewnętrzną, operatorzy
      3. Rozmieszczenie serwerów w lokacjach
      4. Stosowane technologie kryptograficzne dla każdej działalności
      5. Informacje publicznie dostępne – adresy stron głównych – zabezpieczenia
      6. Zasady dotyczące ochrony zdalnych portów diagnostycznych i konfiguracyjnych
      7. Sposób kontroli połączeń sieciowych
      8. Kontrola dostępu do systemów operacyjnych: Logowanie, identyfikacja, uwierzytelnienie, zarządzanie hasłami
      9. Ograniczenie dostępu do kodów źródłowych – bezpieczeństwo plików systemowych
      10. Metodologia, zasady, rozwiązania dostępu do informacji o podatnościach wykorzystywanych systemów informatycznych.
      11. Itp.

      Odpowiedź:
      Niestety coraz częstszą praktyką audytorów jest prośba o przesłanie różnego rodzaju informacji przed audytem, czy to polityki bezpieczeństwa, księgi procedur bezpieczeństwa, czy też opisu stosowanych zabezpieczeń, wg mnie do zapoznania się z dokumentacją służy pierwszy etap audytu i wtedy jest czas i miejsce żeby audytor zapoznał się z dokumentacją systemową firmy i wstępnie ze stosowanymi zasadami bezpieczeństwa i zabezpieczeniami, prośba o te materiały przed audytem wynika chyba tylko z chęci ułatwienia sobie pracy audytora.
      Osobiście odradzam wysyłanie jakiejkolwiek dokumentacji przed audytem, powodów może być wiele, przede wszystkim powinniśmy chronić tego rodzaju informację przed wydostawaniem się na zewnątrz, czym innym jest zapoznanie się z nimi audytora na miejscu (podczas przeznaczonych na to dni audytowych) a czym innym swobodny dostęp do tego rodzaju informacji.
      Jeżeli chodzi o kwestie dobrego tonu, to moim zdaniem audytor nie powinien mieć zastrzeżeń do takiej decyzji firmy, tym bardziej, że jest to audyt Bezpieczeństwa Informacji i to firma podejmuje decyzje o tym, jakie będzie stosowała zabezpieczenia. Polecam natomiast w celu uniknięcia jakichkolwiek zastrzeżeń ze strony audytora nadać tym dokumentom status (klasyfikacja informacji) nie pozwalający na jakiekolwiek udostępnianie ich poza obrębem firmy.

      Powrót

      Czy można się posługiwać normą 62304 jako podstawą do przeprowadzania testów walidacji oprogramowania wyrobów medycznych? Proszę o podpowiedź innych norm powiązanych tematycznie, rozszerzających tematykę walidacji oprogramowania. Czy w tym temacie są normy z serii dodatkowych, tzw.

      Odpowiedź: :

      Walidacja oprogramowania: norma ISO 62304 (Medical device software -- Software life cycle processes) jest normą dotyczącą cyklu życia oprogramowania, a więc obejmuje również odbiór, testowanie, utrzymanie i wprowadzanie zmian do oprogramowania i jako taka z powodzeniem może służyć jako element procesu walidacji.
      Grupę wymagań dotyczących już konkretnie samego procesu walidacji oprogramowania można znaleźć na stronach FDA (U.S. Food and Drug Administration) www.fda.gov. Pełna walidacja oprogramowania moze wtedy przebiegać wg modelu V.

      Dokumenty w walidacji wg modelu V to:

      URS (User Requirements Specyfication) - Wymagania odnośnie oprogramowania wyrażone w sposób zrozumiały dla użytkownika.
      FS (Functional Specyfication) - Szczegółowy opis poszczególnych funkcji oprogramowania realizujących URS.
      DS (Design Specyfication) - Szczegóły techniczne dla rozwiązań opisanych w FS.
      DQ (Design Qualification) - Potwierdzenie, że rozwiązania przyjęte w DS będą działać poprawnie i realizować funkcje określone w FS.
      IQ (Instalation Qualification) - Potwierdzenie poprawności instalacji poszczególnych elementów oprogramowania na docelowych maszynach.
      OQ (Operational Qualification) - Potwierdzenie poprawności działania wszystkich funkcji systemu w środowisku użytkownika.
      PQ (Performance Qualification) - Potwierdzenie, że elementy oprogramowania współpracują ze sobą i oprogramowanie spełnia wymagania zawarte w URS.

      Dodatkowe normy to: ISO 90003, zarządzanie zmianami w ISO 20000-1/2, zabezpieczenia z Załącznika A - pkt. 10, 11 i 12 z ISO 27002, ISO 19770 - Zarządzanie oprogramowaniem, ISO/IEC 29119 Software testing, ISO 14598 części 1-6 - proces oceny jakości oprogramowania.

      Powrót

      1) Czy w związku z nowelizacją normy ISO 9001:2000 na normę ISO 9001:2008 certyfikat który otrzymaliśmy jest nadal ważny? 2) Do kiedy obowiązuje przejście na nowe wydanie normy? 3) Jakie zasadnicze lub nowe wymagania wprowadza norma ISO 9001:2008 4) Czy należy zgłosić do rejestracji?

      Odpowiedź: :

      Zgodnie z komunikatem nr 52 z dnia 6.01.2009 r., wydanym przez Polskie Centrum Akredytacji certyfikaty SZJ na zgodność w wymaganiami PN-EN ISO 9001:2001 tracą ważność po 15.11.2010 roku.

      Ważność certyfikatów, zgodnie z wytycznymi POLSKIEGO CENTRUM AKREDYTACJI przedstawia się następująco:
      - Certyfikaty SZJ na zgodność w wymaganiami PN-EN ISO 9001:2001 tracą ważność po
      15.11.2010 roku.
      - Do 15.11.2009 certyfikacja/recertyfikacja może odbywać się w oparciu o wymagania
      PN-EN ISO 9001:2001.
      - Po 15.11.2009 nowa certyfikacja, bądź wznowienia będą prowadzone tylko w oparciu o wymagania IS0 9001:2008 lub krajowy odpowiednik (PN-EN ISO 9001:2009).

      W związku z tym wydaje mi się, że podczas któregoś z audytów nadzoru zostaliście Państwo certyfikowani na nową normę, tyle że nie został Wam wydany nowy certyfikat, ale dla pewności należy zapytać jednostkę certyfikującą.
      Nowe wydanie normy nie wprowadza nowych wymagań, raczej doprecyzowuje istniejące, m.in:
      - przywiązuje większą uwagę do zgodności z prawem
      - zwraca większą uwagę na procesy podzlecane na zewnątrz
      - dokumenty pochodzące z zewnątrz
      - rozluźnia nieco wymagania związane z oceną satysfakcji klienta
      - itp.
      W większości firm posiadajacych "starą" 9001 nie ma konieczności wprowadzania zmian, co najwyżej drobne korekty - dlatego podejrzewam, że już przeszliście audyt na "nową" normę niezauważalnie.

      Powrót

      Na czy polega dostosowanie dokumentacji systemowej do wymogów nowej normy ISO 9001:2008? Przykłady? Może punkty pomocne przy analizowaniu dokumentacji?

      Odpowiedź: :

      Generalnie zmiany dotyczyły doprecyzowania niejasnych wymagań, podkreślenia dużej swobody organizacji w sposobie dokumentowania, mierzeniu procesów, badania satysfakcji klienta itp. Wydanie z 2008/2009 roku nie zawiera nowych wymagań! Poniżej opisane są główne zmiany w normie ISO 9001:2008.

      1. Wymagania prawne
      Podstawową zmianą w ISO 9001:2008 jest podkreślenie konieczności spełniania wymagań prawnych i innych. Uwaga: spełnienie wymagań prawnych i innych nie oznacza konieczności spisania wymagań prawnych dotyczących wyrobu, niemniej jednak należy udowodnić znajomość przepisów mających zastosowanie do naszego wyrobu.
      2. Określenie procesów (pkt. 4.1 Wymagania ogólne)
      Poprzednie wydanie normy nakazywało „identyfikację procesów”, w obecnym wydaniu należy „określić procesy”. Określenie oznacza w tym przypadku pokazanie przebiegu procesu, wskazanie wejść i wyjść z procesu, uczestników procesu itp itp.
      3. Mierniki procesów
      W pkt. 4.1.e) norma wymaga monitorowania i mierzenia procesów, tam gdzie ma to zastosowanie, co oznacza, że nie należy tworzyć mierników za wszelką cenę, nawet dla mniej istotnych procesów – nie wszystkie procesy muszą mieć mierniki!
      4. Nadzór nad procesami zewnętrznymi
      Rodzaj i zakres nadzoru jaki należy zastosować nad takimi realizowanymi na zewnątrz procesami, powinien być określony w systemie zarządzania jakością – z zapisu wprawdzie nie wynika wprost konieczność udokumentowania zakresu, ale wydaje się to wymagane.
      5. Nadzór nad dokumentacją
      Podkreślona została dowolność formy i postaci dokumentacji systemowej. Wymagana jest identyfikacja dokumentów pochodzących z zewnątrz.
      6. 8.2.4 Monitorowanie i pomiary wyrobu
      Należy utrzymywać dowód spełnienia kryteriów przyjęcia – potwierdzenie, że na poszczególnych etapach realizacji wyrobu spełnia on stawiane mu wymagania.

      Podsumowanie:
      W nawiązaniu do pytania o konieczność wprowadzania zmian do dokumentacji w związku z nowym wydaniem normy nie narzuca ona nowych wymagań dokumentacyjnych w stosunku do wydania z 2000/2001 roku. Zmiany zależą od dotychczas przyjętego sposobu zaprojektowania i wdrożenia systemu zarządzania jakością w organizacji. Niektóre organizacje mogą być zmuszone do opisania swoich procesów, inne do identyfikacji wymagań prawnych czy też nadzoru nad outsourcingiem czy też dokumentacją zewnętrzna.

      Powrót

      Czy właścicielem procesu musi być osoba na stanowisku kierowniczym? Niektóre z procesów pomocniczych w naszej firmie wydaje mi się zasadnym przypisać do osób nie zajmujących takich stanowisk. Są to osoby odpowiedzialne i kompetentne, a we wspomnianych procesach posiadają dużą niezależność w firmie.

      Odpowiedź: :

      Norma nie nakłada żadnych wymagań dotyczących właścicieli procesów, natomiast wychodząc z założenia, że właściciel procesu zarządza swoim procesem musi on mieć uprawnienia do decydowania o przebiegu, monitorowaniu i dbaniu o realizację celów procesu. Bardzo często kierownictwo zapomina o nadaniu w/w uprawnień, wskazując tylko odpowiedzialności właściciela procesu.
      Odpowiadając na pytanie:
      Tak, właściciel procesu nie musi być członkiem kierownictwa, ale proszę zwrócić uwagę na to, czy wskazana osoba będzie miała realny wpływ na funkcjonowanie procesu, a w szczególności, czy w ramach nadanych jej uprawnień będzie mogła wziąć na siebie odpowiedzialność za realizację celów procesu i podejmowanie działań z tym związanych.

      Powrót

      Które elementy normy ISO 9001 należy wskazać przy procesie reklamacji klientów, reklamacji do dostawców, a także przy procesie przyjmowaniu towaru na magazyn i kontroli jakościowej oraz ilościowej w odniesieniu do firmy handlowej.

      Odpowiedź: :

      Przy procesie reklamacji klientów bierze się pod uwagę punkty normy 7.2.3.

      - Organizacja powinna określić i wdrożyć skuteczne ustalenia związane z komunikacją z klientami dotyczące
      a) informacji o wyrobie,
      b) zapytań handlowych, postępowania z umowami lub zamówieniami, łącznie ze zmianami,
      c) informacji zwrotnej od klienta, w tym dotyczącą reklamacji klienta.

      Jak również punkt 8.3., który mówi o Nadzorze nad wyrobem w tym przypadku szczególnie:
      d) podjęcie działania odpowiedniego do rzeczywistych lub potencjalnych skutków niezgodności wówczas, gdy niezgodny wyrób został wykryty po dostawie lub po rozpoczęciu jego użytkowania.

      W przypadku reklamacji kierowanej do dostawców zastosowanie ma punkt normy 7.4.3, w którym mowa o weryfikacji zakupionego wyrobu, powinien on "spełniać wyspecyfikowanie wymagania dotyczące zakupu", zastosowanie ma również punkt 7.4.1, w którym mowa o weryfikacji i ocenie dostawców, jeżeli reklamacje zdarzają się często, być może należy pomyśleć o zmianie dostawcy.

      W procesie przyjmowania wyrobu na magazyn, kontroli jakościowej i ilościowej tego wyrobu również ma zastosowanie punkt 7.4.3., dostarczony wyrób należy sprawdzić i zweryfikować, weryfikacja daje nam podstawę do oceny dostawców (pkt 7.4.1.) jak również spełnia kryteria punktu 8.4. czyli daje możliwość analizy danych i wyciągnięcia wniosków, czego efektem mogą być działania korygujące (8.5.2.) lub "ciągłe doskonalenie" (8.5.1.)

      Powrót

      Które elementy systemu ISO 9001 muszą być udokumentowane?

      Odpowiedź: :

      Poniżej wymienione są elementy systemu ISO 9001, które wymagają formy udokumentowanej, zarówno jako dokumenty, jak i zapisy. Dodatkowo opisane są wymagania, które bardzo często w praktyce są dokumentowane, pomimo, że nie ma takiego wymogu w normie:

      - Zakres i granice - Zarządzenie, mail do pracowników
      - Decyzja o wdrożeniu - Zarządzenie, mail do pracowników
      - Powołanie przedstawiciela kierownictwa - Nie musi być udokumentowane, ale jest to zalecane
      - Powołanie właścicieli procesów - Nie musi być udokumentowane, ale jest to zalecane
      - Polityka jakości - Dokument polityki
      - Cele jakości - Opis procesu, karta procesu, księga procesów
      - Udokumentowane procesy j.w.
      - Kompetencje, uprawnienia, odpowiedzialności - Teczki osobowe, zakresy obowiązków, umowy o pracę, opisy zadań w dokumentacji procesów
      - Ocena dostawców - Wyniki oceny dostawców
      - Szkolenie dla auditorów - Formalnie nie jest wymagane dokumentowanie samych szkoleń, planów itp., ale wyniki, czyli uzyskane certyfikaty powinny być udokumentowane
      - Szkolenia, ocena skuteczności szkoleń (mających wpływ na jakość) - ocena skuteczności nie musi być udokumentowana!
      - Badanie satysfakcji klienta - Nie jest wymagane dokumentowanie wyników
      - Księga jakości - Dokument Księgi
      - Rejestr reklamacji - Dokumentowane powinny być wyroby niezgodne, a więc również reklamacje, i opis podjętych działań sposób załatwienia
      - Rejestr wyrobów niezgodnych - j.w.
      - Przegląd wymagań - Zapisy z przeglądu wymagań: umowy, oferty itp. i działań wynikających z przeglądu
      - Własność klienta - Zapisy z uszkodzeń i informacji dla klienta itp
      - Nadzorowanie wyposażenia do pomiarów
      - Zapisy dotyczące metody wzorcowania,
      - Zapisy wyników wzorcowania i sprawdzania
      - Zapisy o niezgodnym wyposażeniu
      - Projektowanie - WSZYSTKO! Każdy element i etap projektowania musi być udokumentowany w przypadku tych wymagań trudno jest być "nadgorliwym"!
      - Dowody systemowe
      - Plan auditów - Dokument
      - Raporty z auditów - Dokument
      - Działania korygujące i zapobiegawcze - Dokument/ lista/ rejestr działań
      - Ocena skuteczności działań korygujących i zapobiegawczych - Dokument
      - Przegląd zarządzania - Musi się odbyć
      - Raport z przeglądu zarządzania - Dokument
      - Procedury systemowe- Procedura nadzoru nad dokumentami - Procedura obowiązkowa
      - Nadzór nad zapisami Procedura obowiązkowa
      - Przeprowadzanie audytów wewnętrznych - Procedura obowiązkowa
      - Działania korygujące - Procedura obowiązkowa
      - Działania zapobiegawcze - Procedura obowiązkowa
      - Nadzór na wyrobem niezgodnym - Procedura obowiązkowa

      Powrót

      Norma ISO 9001 wymaga badania satysfakcji klienta, proszę o podpowiedź, na co powinniśmy zwrócić uwagę, jakie aspekty, jakiego rodzaju pytania itp.?

      Odpowiedź: :

      Witam, jedna z czołowych firm zajmujących się problematyką badania satysfakcji klientów jako podstawę wymienia tzw, 10 przykazań związanych z realizacją, pozwolę je sobie przytoczyć jako przykład:

      1. Obiektywny dobór próby – próba powinna być reprezentatywna dla badanej populacji, tj. przede wszystkim dobrana losowo i bez uprzywilejowania jakiejkolwiek grupy.

      2. Stosowanie właściwej terminologii – czyli język klienta, nie badacza. Użyte sformułowania powinny odzwierciedlać wszystkie elementy procesu zakupów, a także sposób myślenia respondentów. Terminologia wewnętrzna firmy zlecającej badanie nie powinna być używana podczas procesu przeprowadzania wywiadów.

      3. Faza eksploracyjna i pilotaż – konieczna jest właściwa identyfikacja kryteriów oceny, zrozumienie terminologii klienta, a także przetestowanie kwestionariuszy.

      4. Określenie oczekiwań klienta – aby móc podać rekomendacje, musimy wiedzieć, jakiego poziomu współpracy klient oczekuje.

      5. Doświadczenie - należy zawsze korzystać z usług badaczy doświadczonych zarówno w badaniach satysfakcji rynku, jak i w badanej branży. Warto zwrócić uwagę na szkolenie dla ankieterów.

      6. Pytania otwarte – co należy poprawić? Dlaczego? To są pytania, które dodają „ludzkiego wymiaru” do suchych liczb w raporcie, często zaś umożliwiają właściwą interpretację danych

      7. Pytania o postawy i zachowania klientów - czy respondent będzie kontynuował zakupy u danego dostawcy, czy zarekomenduje go znajomym, a może zrezygnuje z jego usług? Takie dane pozwolą powiązać wskaźnik satysfakcji klientów z możliwymi skutkami dla działalności firmy.

      8. Odpowiednia skala ważności – łatwo można otrzymać wynik, że wszystko jest jednakowo ważne. Ustalenie ważności poszczególnych obszarów współpracy jest konieczne przy ustalaniu priorytetów.

      9. Analiza danych – zbyt często podstawową miarą jest po prostu uśredniony wynik, podczas gdy jeden klient zadowolony i jeden wściekły to nie to samo, co dwóch obojętnych. Należy sprawdzać rozkłady odpowiedzi, a także zastosować bardziej złożone techniki.

      10. Klasycznym błędem, który często robią badacze i klienci agencji jest zadawanie zbyt wielu pytań, ponadto listy z kryteriami oceny często zawierają kilkadziesiąt czynników. Taki sposób prowadzenia wywiadów męczy respondentów, a dane uzyskane z dwugodzinnego wywiadu z pewnością będą mało wiarygodne.

      Powrót

      Proszę o informację, w jaki sposób najlepiej mierzyć poziom satysfakcji klientów (nie chodzi mi o ankiety). Współpracujemy z dużymi firmami, mamy kilku klientów i nie wyobrażam sobie aby dane z ankiet były miarodajne. Poza tym ocenę naszych usług ciężko zamknąc w kilku pytaniach. Ocena powinna być raczej opisowa. Jednak w tym przypadku ciężko bedzie mierzyć zmiany w poziomie zadowolenia klientów. Prosze o poradę.

      Odpowiedź: :

      Trzymając się ściśle zapisów normy, czyli:

      "...8.2.1 Zadowolenie klienta
      Jako jeden z mierników funkcjonowania systemu zarządzania jakością, organizacja powinna monitorować informacje dotyczące percepcji klienta co do tego, czy spełniła jego wymagania. Należy określić metody uzyskiwania i wykorzystywania tych informacji.
      UWAGA Monitorowanie percepcji klienta może obejmować uzyskiwanie danych wejściowych ze źródeł taki, jak: badania zadowolenia klienta, dane klienta o jakości dostarczonych wyrobów, badania opinii użytkowników, analiza utraconych korzyści biznesowych, pochwały, roszczenie gwarancyjne, raporty dilerów..."

      znajdziemy tam wymagania dotyczące monitorowania percepcji klienta. Efektem monitorowania powinny być informacje umożliwiające nam ocenę a w konsekwencji poprawę tego postrzegania.

      Jeśli chodzi o metody pozyskiwania informacji, to już sama norma podpowiada nam źródła tych informacji (badania zadowolenia klienta, dane klienta o jakości dostarczonych wyrobów, badania opinii użytkowników, analiza utraconych korzyści biznesowych, pochwały, roszczenie gwarancyjne, raporty dilerów). Większość z w/w sposobów nie wymaga nawet bezpośredniego kontaktu z klientem - wystarczy m.in. przeanalizować posiadane dane dotyczące sprzedaży, reklamacji, roszczeń gwarancyjnych. Jeśli przeprowadzane są wizyty i spotkania z klientami to notatki z tych wizyt (opisowe) również spełniają wymagania normy. O skuteczności przyjętych rozwiązań badania świadczy możliwość podejmowania na ich podstawie działań doskonalących (korygujących i zapobiegawczych) w celu zwiększenia zadowolenia klienta.

      Powrót

      Proszę o informację w jaki sposób zrealizować przegląd zarządzania, w sytuacji gdy nie mamy żadnych danych z pomiaru satysfakcji klientów. Poprzednio mierzyliśmy zadowolenie klientów poprzez niezależne badanie przeprowadzane przez magazyn mediowy, jednak z uwagi, ze ich działania nie były do końca obiektywne zrezygnowaliśmy z udziału w badaniu.

      Odpowiedź: :

      W zasadzie pośród danych wejściowych na przegląd kierownictwa mamy informacje zwrotne od klientów, a biorąc pod uwagę, ze mogą to być informacje dotyczące reklamacji, informacje od przedstawicieli handlowych, opiekunów klienta itd, czyli informacje które być może są już w Państwa posiadaniu, to nie widzę problemu ze spełnieniem w/w wymagania 5.6.2a). W przypadku braku reklamacji, stwierdzenie, że "w omawianym okresie nie zostały zgłoszone żadne reklamacje..." jest również w moim przekonaniu omówieniem informacji zwrotnej od klientów.
      Oczywiście warto poruszyć w raporcie kwestię zmiany sposobu badania ze względu na niską skuteczność uzyskiwanych wyników. Może np. indywidualne spotkania z klientami i pozyskiwanie ich opinii na nasz temat okaże się skuteczniejsze?

      Powrót

      Poproszono mnie o przeprowadzenie audytu wewnętrznego polegającego na sprawdzeniu zgodności Księgi Jakości z Normą 9001:2008. Na co w szczególności mam zwrócić uwagę. Jakie elementy muszą znajdować się w nowej Księdze Jakości a nie musiały w poprzedniej?

      Odpowiedź: :

      Generalnie zmiany dotyczyły doprecyzowania niejasnych wymagań, podkreślenia dużej swobody organizacji w sposobie dokumentowania, mierzeniu procesów, badaniu satysfakcji klienta itp. Wydanie z 2008/2009 roku nie zawiera nowych wymagań! Poniżej opisane są główne zmiany w normie ISO 9001:2008.

      1. Wymagania prawne

      Podstawową zmianą w ISO 9001:2008 jest podkreślenie konieczności spełniania wymagań prawnych i innych. Uwaga: spełnienie wymagań prawnych i innych nie oznacza konieczności spisania wymagań prawnych dotyczących wyrobu, niemniej jednak należy udowodnić znajomość przepisów mających zastosowanie do naszego wyrobu.

      2. Określenie procesów (pkt. 4.1 Wymagania ogólne)

      Poprzednie wydanie normy nakazywało „identyfikację procesów”, w obecnym wydaniu należy „określić procesy”. Określenie oznacza w tym przypadku pokazanie przebiegu procesu, wskazanie wejść i wyjść z procesu, uczestników procesu itp.

      3. Mierniki procesów

      W pkt. 4.1.e) norma wymaga monitorowania i mierzenia procesów, tam gdzie ma to zastosowanie, co oznacza, że nie należy tworzyć mierników za wszelką cenę, nawet dla mniej istotnych procesów – nie wszystkie procesy muszą mieć mierniki!

      4. Nadzór nad procesami zewnętrznymi

      Rodzaj i zakres nadzoru jaki należy zastosować nad takimi realizowanymi na zewnątrz procesami, powinien być określony w systemie zarządzania jakością – z zapisu wprawdzie nie wynika wprost konieczność udokumentowania zakresu, ale wydaje się to wymagane.

      5. Nadzór nad dokumentacją

      Podkreślona została dowolność formy i postaci dokumentacji systemowej. Wymagana jest identyfikacja dokumentów pochodzących z zewnątrz.

      6. 8.2.4 Monitorowanie i pomiary wyrobu

      Należy utrzymywać dowód spełnienia kryteriów przyjęcia – potwierdzenie, że na poszczególnych etapach realizacji wyrobu spełnia on stawiane mu wymagania.

      Podsumowanie:

      W nawiązaniu do pytania o konieczność wprowadzania zmian do dokumentacji w związku z nowym wydaniem normy nie narzuca ona nowych wymagań dokumentacyjnych w stosunku do wydania z 2000/2001 roku. Zmiany zależą od dotychczas przyjętego sposobu zaprojektowania i wdrożenia systemu zarządzania jakością w organizacji. Niektóre organizacje mogą być zmuszone do opisania swoich procesów, inne do identyfikacji wymagań prawnych czy też nadzoru nad outsourcingiem czy też dokumentacją zewnętrzną.

      Powrót

      Proszę o informację, w jaki sposób najlepiej mierzyć poziom satysfakcji klientów (nie chodzi mi o ankiety). Współpracujemy z dużymi firmami, mamy kilku klientów i nie wyobrażam sobie, aby dane z ankiet były miarodajne. Poza tym ocenę naszych usług ciężko zamknąć w kilku pytaniach. Ocena powinna być raczej opisowa. Jednak w tym przypadku ciężko będzie mierzyć zmiany w poziomie zadowolenia klientów. Proszę o poradę.

      Odpowiedź: :

      Trzymając się ściśle zapisów normy, czyli:

      "...8.2.1 Zadowolenie klienta

      Jako jeden z mierników funkcjonowania systemu zarządzania jakością, organizacja powinna monitorować informacje dotyczące percepcji klienta co do tego, czy spełniła jego wymagania. Należy określić metody uzyskiwania i wykorzystywania tych informacji. UWAGA Monitorowanie percepcji klienta może obejmować uzyskiwanie danych wejściowych ze źródeł takich, jak: badania zadowolenia klienta, dane klienta o jakości dostarczonych wyrobów, badania opinii użytkowników, analiza utraconych korzyści biznesowych, pochwały, roszczenie gwarancyjne, raporty dilerów..."

      znajdziemy tam wymagania dotyczące monitorowania percepcji klienta. Efektem monitorowania powinny być informacje umożliwiające nam ocenę a w konsekwencji poprawę tego postrzegania.

      Jeśli chodzi o metody pozyskiwania informacji, to już sama norma podpowiada nam źródła tych informacji (badania zadowolenia klienta, dane klienta o jakości dostarczonych wyrobów, badania opinii użytkowników, analiza utraconych korzyści biznesowych, pochwały, roszczenie gwarancyjne, raporty dilerów). Większość z w/w sposobów nie wymaga nawet bezpośredniego kontaktu z klientem - wystarczy m.in. przeanalizować posiadane dane dotyczące sprzedaży, reklamacji, roszczeń gwarancyjnych. Jeśli przeprowadzane są wizyty i spotkania z klientami to notatki z tych wizyt (opisowe) również spełniają wymagania normy. O skuteczności przyjętych rozwiązań badania świadczy możliwość podejmowania na ich podstawie działań doskonalących (korygujących i zapobiegawczych) w celu zwiększenia zadowolenia klienta.

      Powrót

      Proszę o informację, w jaki sposób Pełnomocnik Zarządu ds. Systemów Jakości może zapewnić upowszechnianie w całej organizacji świadomości dotyczącej wymagań klienta (pkt. 5.5.2 normy)

      Odpowiedź: :

      Pierwszym krokiem jest poznanie wymagań klienta, poprzez rejestrowanie i zbieranie informacji od klienta dotyczących zapytań handlowych, postępowania z umowami lub zamówieniami, łącznie ze zmianami, informacji zwrotnej, w tym dotyczącej reklamacji klienta jak również poprzez badanie satysfakcji klienta przez rozmowy, ankiety lub badania opinii użytkowników, analizy utraconych korzyści biznesowych, rejestrowania pochwał, roszczeń gwarancyjnych, raportów dilerów.
      Zadania te mogą być realizowane poprzez: Biuro Obsługi Klienta, środki masowego przekazu, Internet, telekomunikacja, poczta, prowadzone akcje uświadamiające.

      Posiadając niezbędną wiedzę dotyczącą wymagań klienta należy upowszechnić je wśród pracowników, zadanie to można realizować na wiele różnych sposobów poprzez np.:

      1. Przygotowanie i rozpowszechnienie broszur informacyjnych, gazetek wewnętrznych – broszura taka w formie np., biuletynu, może zawierać informację o typowych problemach, z jakimi zgłasza się klient, o reklamacjach zarówno zasadnych jak i bezzasadnych jakie pojawiły się na przestrzeni ostatnich paru miesięcy. Można tam zawrzeć również szereg „dobrych rad” dla pracowników, na co szczególnie zwracać uwagę podczas kontaktów z klientem, co w przypadku gdy (…) itp. Biuletyn taki może również posłużyć jako forma uświadamiania pracownikom, że każdy z nich odpowiada za zadowolenie klienta

      2. Utworzenie krótkiej „listy wymagań klienta” i umieszczenie jej w miejscu ogólnie dostępnym, jak sieć wewnętrzna (intranet), lub wywieszenie jej obok polityki jakości – lista taka może zawierać, kilka krótkich pkt. mówiących „Ty jesteś odpowiedzialny za zadowolenie klienta”, „Klient oczekuje od Ciebie” itp.

      3. Uświadamianie i szkolenia pracowników – pracownicy powinni być na bieżąco informowani o problemach jakie się pojawiają, w szczególności o problemach ważnych bądź nietypowych, tak żeby możliwe było szybsze i sprawniejsze obsługiwanie klientów. Może to być realizowane poprzez okresowe szkolenia tradycyjne lub coraz popularniejsze e-learningowe.

      4. W „pakiecie powitalnym” nowego pracownika poruszane są zagadnienia jakości, orientacji na klienta, zasad działania na danym stanowisku pracy.

      Powrót

      Jak można określać miary satysfakcji klienta, czym można się posiłkować przy tym zadaniu?

      Odpowiedź: :

      Określenie miary satysfakcji klienta nie jest prostym zadaniem.
      Pomocna w tym może być systematyka dziesięciu domen Berry'ego - czynników satysfakcji klienta:

      1. Jakość – oceniana przez klienta w porównaniu do innych produktów bądź usług; brak defektów, a także merytoryczna wiedza personelu;
      2. Wartość – postrzegana przez klienta w odniesieniu do ceny i zdrowego rozsądku;
      3. Terminowość – dostarczanie produktu w uzgodnionym terminie;
      4. Otoczenie – bezpieczeństwo i organizacja punktu sprzedaży, wystrój miejsca sprzedaży;
      5. Dostępność – rozumiana też jako łatwość użycia, dogodna lokalizacja, godziny otwarcia punktu sprzedaży, komunikatywny sprzedawca;
      6. Efektywność – niewysoki poziom skomplikowania przy korzystaniu z usługi lub produktu;
      7. Zachowania w bezpośredniej obsłudze klienta – nastawienie personelu, także wygląd personelu, dbałość o drobiazgi;
      8. Współpraca w firmie na rzecz obsługi klienta – pracownicy z różnych "działów" pomagają sobie, obsługując klienta;
      9. Poświęcenie na rzecz klienta – sposób, w jaki sprzedawca traktuje klienta, informowanie o wszelkich warunkach oraz zasadach zakupu i wykorzystania, również gotowość do wzięcia odpowiedzialności przez firmę, gdy produkt nie działa bądź nie spełnia oczekiwań;
      10. Innowacyjność – produkt/usługa zawierają nowe udogodnienia, zapewniają nowe i nowoczesne możliwości.

      Powrót

      1. W jaki sposób zapisuje się zmiany w dokumentacji ISO? Np., jeżeli dany proces ( procedura) ma swojego właściciela np. PZ albo PSJ i wskazane osoby odpowiedzialne za jego realizację np. Prac Admistracyjno.-Biurowych lub Pełnomocnik ds. Jakości, w ramach procedury mamy wykaz załączników ( dokumentów). Która z osób wpisuje zmiany w dokumentach i czyj podpis powinien widnieć na tym dokumencie? Do tej pory dokumenty ( w dokumentacji ISO) podpisywał Prezes i audytor zewnętrzny. Czy ja, jako PSJ mogę obok Pana Prezesa podpisywać się pod każdą zmianą wprowadzoną w dokumenty proceduralne?

      2. Jeżeli zmieniamy dokument, nadajemy mu nowy numer wersji, czy poprzednią wersję archiwizujemy ( w formie papierowej czy elektronicznej), czy w dokumentach funkcjonują obie wersje?

      3. Kto wpisuje zmiany w Księdze Jakości i kto je podpisuje?

      Odpowiedź: :

      Zasady nadzoru nad dokumentacją (zmiany, wprowadzanie, wycofywanie dokumentów, archiwizacja) powinny być opisane w procedurze nadzoru nad dokumentacją (nazwa procedury może być inna!) pkt 4.2.3 ISO 9001. Sama norma ISO 9001 nie narzuca konkretnych sposobów postępowania z dokumentacją, ale spróbuję odnieść się do pytań na podstawie dobrych praktyk, z którymi miałem okazję się zapoznać w wielu organizacjach.

      Ad 1. Zazwyczaj za dokumentację, która funkcjonuje w procesie powinien odpowiadać Właściciel tego procesu. To on zarządza procesem, co również oznacza ustalanie zasad postępowania, które mogą być udokumentowane w organizacji. Odpowiedzialność Właściciela procesu oznacza, że to on zatwierdza/akceptuje dokumentację, ktoś inny może ją przygotować i/lub sprawdzić. Natomiast zupełnie nie rozumiem, dlaczego dokumentację wewnętrzną firmy podpisywał audytor zewnętrzny!? Audytorowi zewnętrznemu NIC DO TEGO, jaką dokumentację stosuje firma i w jaki sposób nią zarządza - on sprawdza, czy przyjęty sposób jest zgodny lub nie z wymaganiami normy. Jeśli audytor podpisuje dokumentację, tzn., że jest on na równi z Prezesem - ponieważ Prezes nie może dokonać zmiany bez audytora! Nie powinno tak być!
      Wskazane jest, żeby PSJ miał udział w weryfikacji dokumentacji przed ostatecznym zatwierdzeniem, chociażby, dlatego, żeby np. Właściciel procesu Zakupy nie zrezygnował z oceny dostawców, bo mu to przeszkadza :)

      Ad 2. Zazwyczaj poprzednią wersję się archiwizuje, ale znów to my ustalamy zasady. Jeśli poprzednie wersje mogą się nam do czegoś przydać (np. w procesie reklamacyjnym) to przechowujemy i udostępniamy. Ważne jest, żeby obie wersje były jasno i czytelnie oznaczone, która jest aktualna i obowiązująca, a która archiwalna żeby nikt nie popełnił błędu posługując się niewłaściwą dokumentacją. Forma archiwizacji (papierowa czy elektroniczna nie ma znaczenia, chyba, że są specyficzne wymagania zewnętrzne - np. w procesie reklamacyjnym musimy udostępniać oryginalne, zatwierdzone procedury klientom).

      Ad 3. I znów - zgodnie z procedurą nadzoru nad dokumentacją. Zazwyczaj robi to PSJ a zatwierdza Prezes.

      Powrót

      1. Jak winna wyglądać procedura oceny dostawców? Na jakie kategorie powinni być dostawcy podzieleni?
      2. W przypadku których dostawców potrzebne jest wcześniejsze przetestowanie wyrobu?
      3. W jaki sposób testować dostawców podzespołów, o których sprawności części można dowiedzieć się dopiero po złożeniu kompletnego urządzenia?(proszę o podanie kryteriów oceny)
      4. Kto powinien być włączony w ocenę?
      5. Jakie dokumenty powstają z oceny dostawców?
      6. Kto powinien podpisywać się pod protokołem z oceny dostawców?

      Odpowiedź: :

      1. Norma ISO 9001 nie wymaga procedury oceny oraz dzielenia na kategorie. Jedynym wyznacznikiem różnic pomiędzy dostawcami jest ich wpływ (a więc i wpływ dostarczanego produktu) na jakość naszego produktu i od tego powinien być uzależniony sposób (restrykcyjność) oceny - im większy wpływ tym np. więcej parametrów bierzemy pod uwagę.

      2. I znów norma nie wymaga wprost testowania wyrobu, ale wymaga weryfikacji zakupionego wyrobu (7.4.3) a jednym ze sposobów weryfikacji może być oczywiście jego testowanie.

      3. Ocena dostawcy może być zakończona np. dopiero po pozytywnych wynikach testów całego urządzenia - przed jego uruchomieniem dla Klientów (zwolnieniem wyrobu).
      Kryteria oceny niestety zależą od tego, co kupujemy - najważniejsze kryteria, to kryteria świadczące o przydatności zakupionego towaru, np. skład chemiczny, rodzaj substancji, wymagane aprobaty, certyfikaty, a potem najczęściej spotykane: czas realizacji, gwarancja, sposób płatności, zapewnienie zdolności technicznej realizacji, wiedza i doświadczenie itp.

      4. Kto dokonuje oceny jest oczywiście w pełni zależne od organizacji - ale zazwyczaj jest to osoba, która będzie wykorzystywała zakupiony towar.

      5. Muszą być udokumentowane wyniki ocen dostawców oraz wszelkich niezbędnych działań wynikających z oceny - czyli informacja o dostawcach, którzy spełniają nasze oczekiwania oraz np. dodatkowe informacje o warunkowym dopuszczenie, ale pod warunkiem dostarczenia informacji o sposobach wewnętrznej kontroli jakości u naszego dostawcy, czy też z naszej strony konieczność przeprowadzenia dodatkowego audytu u dostawcy.

      6. Przede wszystkim oceniający, mogą oczywiście też inni (np. członkowie komisji) - jest to całkowicie zależne od organizacji.

      Powrót

      Pytanie 1
      Wg normy: organizacja powinna zapewnić, że zakupiony wyrób spełnia wyspecyfikowane wymagania dotyczące zakupu. Jak rozumiem listę tych wymagań tworzy sama organizacja i umieszcza na niej to co jest dla niej ważne- czy mogą to być tylko wymagania dotyczące np ceny wyrobu, szybkości dostawy, jakości tej dostawy itp?

      Pytanie 2
      Niektóre organizacje w swoich kryteriach pytają również dostawcę o to czy np posiada system zarządzania jakościąMoja firma zajmuje się syntezą związków chemicznych. Jeśli chodzi o zakup substratów do reakcji chemicznych wierzymy w to co napiszą dostawcy na certyfikatach dołączonych do nich (jeśli chodzi o czystość chemiczną itp). Czy po wprowadzeniu Systemu Jakości w jakiś sposób będziemy musieli je badać przed użyciem aby upewnić się, że dostawca faktycznie sprzedał nam to co chcieliśmy? Czy możemy opierać się jedynie na dokumentach wystawionych przez Dostawcę?

      Odpowiedź: :

      Odpowiedź 1
      Organizacja powinna stworzyć listę kwalifikowanych dostawców , to znaczy takich ,których wcześniej sprawdziła w.g kryteriów ,które sama określiła . Kryteria powinny zawierać te elementy ,które są istotne dla organizacji, a więc jeśli uznaliście ,że kryteriami będą :cena wyrobu, szybkość dostawy oraz jakość tej dostawy to znaczy ,że to jest ważne z punktu widzenia realizacji wyrobu . Norma nie narzuca organizacjom jakie kryteria mają zastosować wobec swoich dostawców. Organizacja z punktu widzenia normy ma obowiązek dokonywać okresowej oceny dostawców i jeśli nie spełniają przyjętych kryteriów należy weryfikować listę i szukać innych dostawców . Jeśli jest to niemożliwe , bo np. jest tylko jeden taki producent lub dostawca na dostępnym rynku to należy podjąć działania, które uświadomią dostawcy jakie są wymagania i oczekiwania wobec dostarczanego surowca, materiału itp.


      Odpowiedź 2
      Jeśli posiadacie jako organizacja kwalifikowanych tzn, sprawdzonych dostawców to znaczy ,że dlatego są kwalifikowani bo do tej pory Was nie zawiedli. Ponadto jeśli do dostaw dołączone są certyfikaty lub deklaracje zgodności , atesty to znaczy ,że dostawca dostarcza zamówione materiały lub surowce zgodnie z wymaganiami zawartymi w Waszym zamówieniu lub umowie. Dostawca wydając certyfikat ,atest lub deklaracje zgodności bierze odpowiedzialność prawną za parametry i charakterystykę dostarczanego materiału bądź surowca. Norma nie wymaga aby materiały i surowce dostarczane przez dostawcę były weryfikowane pod kątem jego np, składu chemicznego jeżeli dostawca potwierdza certyfikatem bądź atestem ,że zamówiony przez Was materiał /surowiec jest zgodny z tymi parametrami jakie zostały przez Was określone w zamówieniu. Jeśli jednak posiadacie Państwo jakiekolwiek wątpliwości, to możecie okresowo zaplanować działania zapobiegawcze polegające na sprawdzaniu wybranej przez Was dostawy . Nie ma jednak takiego wymagania które jednoznacznie mówiło by o tym ,że każdą dostawę należy u Was sprawdzać .

      Po co wówczas byłyby te certyfikaty i atesty od dostawcy?? Weryfikacja dostawy to sprawdzenie pod kątem ilości i jakości w.g specyfikacji lub zamówienia . Certyfikaty i atesty są częścią specyfikacji i potwierdzają ne parametry oraz skład surowca.

      Powrót

      Czy przegląd systemu zarządzania jakością musi się odbywać w formie spotkania kierownictwa? (norma jasno tego nie mówi) Czy też może być to mailowe przesłanie do Pełnomocnika wszystkich danych wejściowych przez kierownictwo i odesłanie im podsumowania oraz zatwierdzenie przez Prezesa?

      Odpowiedź: :

      Formalnie nie musi się odbyć spotkanie, forma w której pełnomocnik zbiera informacje i przekazuje podsumowanie w formie raportu z przeglądu do Prezesa Zarządu jest często praktykowana i w pełni akceptowana przez Audytorów, proszę tylko pamiętać, że taki raport powinien być podpisany przez prezesa, jako "zaakceptowany" - powinniśmy móc wykazać, że się z nim zapoznał.

      Powrót

      Czy warto i jakie są korzyści wdrożenia systemu zarządzania bezpieczeństwem i higieną pracy zgodnego z wymaganiami normy PN-N 18001?

      Odpowiedź: :

      Organizacja może przedstawić dowody, że dba o bezpieczeństwo i higienę pracy. Jeśli zatrudniamy pracowników to mamy obowiązek zapewnić im zgodnie z prawem odpowiednie warunki pracy, szkolenia, środki ochrony inne wymagane prawem zasoby do realizacji zadań.
      Jest jednak pytanie Kto nam może to zweryfikować?
      Jaki jest poziom stanu BHP w naszej organizacji mogą sprawdzić służby wewnętrzne bhp, które w małych organizacjach pracują na część etatu lub są to wynajęte firmy dochodzące w ustalonych dniach do organizacji. Są jeszcze jednostki zewnętrze uprawnione do przeprowadzania kontroli bhp. ale mogą one do nas dotrzeć raz w roku a może raz na kilka lat i być może nie zawsze uda im się dotrzeć do wszystkich ważnych obszarów w zakresie bhp wymagających poprawy, doskonalenia a może wręcz radykalnych zmian w celu poprawy stanu bhp.

      Dobrze funkcjonujący system zarządzania bezpieczeństwem i higieną pracy jest skutecznym sposobem zapewnienia odpowiednio wysokiego poziomu bhp organizacji, oczekiwanego przez zainteresowane strony wewnętrzne i zewnętrzne jak również ze względu na konieczność przestrzegania przepisów prawnych obowiązujących w tej dziedzinie, jak i możliwość uzyskania odpowiednich dla organizacji efektów
      ekonomicznych.
      System zarządzania bezpieczeństwem i higieną pracy wymaga systematycznego podejmowania działań w zakresie podnoszenia poziomu bhp oraz systematycznego sprawdzania funkcjonującego systemu przez wyznaczonych do tego pracowników zwanych w systemie auditorami wewnętrznymi.
      Audit pozwala na sprawdzenie jak funkcjonuje system a stwierdzenie nieprawidłowości powoduje podejmowanie na bieżąco działań korygujących bądź zapobiegawczych w celu poprawy stanu bhp lub jego doskonalenia.

      Jeśli organizacja będzie poprawiać , doskonalić obszar bezpieczeństwa i higieny pracy będzie mogła mieć pewność, że uniknie ewentualnych obciążeń z tytułu np. kar nakładanych przez uprawnione do tego instytucje zewnętrze.

      Jednym z działań organizacji na rzecz wzrostu konkurencyjności organizacji. jest skuteczne zarządzanie bezpieczeństwem i higieną pracy. Spełnienie wymagań normy PN-N-18001 może być więc wykorzystywane do wykazania przez organizację stronom zainteresowanym, że właściwy system zarządzania bezpieczeństwem i higieną pracy jest wdrożony i utrzymywany.
      Najczęściej wymienia się n/w korzyści wdrożenia system zarządzania bezpieczeństwem i higieną pracy:
      - Usprawnienie wewnętrznej organizacji firmy w zakresie BHP,
      - Włączenie systemu zarządzania bezpieczeństwem i higieną pracy do całego systemu zarządzania organizacją;
      - Systematyczne planowanie działań na rzecz poprawy stanu bhp w organizacji
      - Poprawa świadomości wszystkich zatrudnionych w organizacji.
      - Oszczędności związane z zapobieganiem wypadkom
      - Oszczędności związane z powstawaniem chorób zawodowych,
      - Poprawa wizerunku firmy
      - mniej kontroli zewnętrznych.

      Przyjęty w polskich normach model systemu zarządzania BHP jest zgodny z modelami sytemu zarządzania jakością według norm serii ISO 9000 i systemu zarządzania środowiskowego według norm serii ISO 14000. Dla firm które już posiadają wdrożony system ISO 9000 lub ISO 14000, koszty związane z wdrożeniem kolejnego sytemu PN-N-18001 są już znikome, gdyż wszystkie te systemy są ujednolicone i opierają się na podobnych założeniach i zasadach. Normy ISO wymuszają podejście procesowe, co gwarantuje, że identyfikacji podlegają wszystkie procesy jakie odbywają się w firmie pod kątem zapewnienia bezpieczeństwa i higieny pracy.
      Gwarantuje to, że dzięki wdrożeniu sytemu zarządzania BHP wg PN-N-18001 pracodawca może wyregulować wszystkie procesy, tak że staną się bardziej efektywne, skuteczne i co najważniejsze – bezpieczne.

      Powrót
    WYŚLIJ ZAPYTANIE
    eBiuletyn
    listChcesz być na bieżąco? Podaj swój email:

    Polityka prywatności | O nas | Kontakt | e-Sklep | Mapa strony | Oferta | Wdrożenie ISO | Harmonogram szkoleń | Poradniki ISO | e-Learning | Oprogramowanie ISO

    Copyright by iQInfo 2011. Wszelkie prawa zastrzeżone