Egységes alapokon az ISO is könnyebb
Ellentétben azzal, ahogy a vállalkozások többsége gondolja és csinálja, az ISO-szabványoknak való megfelelés nem több száz oldalnyi szabályzatok évenkénti megírásából, majd polcra helyezéséből áll. Integráltan kezelve értelmet nyernek a feladatok, elkerülhető a többszörös munkavégzés, időt és pénzt takarít meg a vállalat. 6000 magyar (és több százezer nemzetközi) cég nem tévedhet egyszerre – ennyien rendelkeznek ugyanis a legelterjedtebb ISO-ajánlás, a minőségirányítási rendszer szabványosított követelményeit tartalmazó ISO 9001 tanúsításával.
A szabvány jelentősége a folyamat- és kockázat alapú megközelítés, mely megközelítéshez a többi szabvány is társul.
Dokumentum helyett folyamat
Ezek az ajánlások, ha jól valósítják meg őket, számos előnnyel járnak a vállalat számára – mondja Vér Zsuzsanna, az ADAPTO konzulense. Ilyen előny lehet, hogy átláthatóbb és szabályozottabb lesz a vállalati működés, a vezetés pontosabb információkhoz jut, csökkennek az üzemeltetési költségek, bizonyítani tudják a számos nagyvállalat által megkövetelt tanúsítványok meglétét, és nem elhanyagolható a tanúsítások marketingértéke sem. Ezeket az előnyöket azonban csak akkor tapasztalja meg a szervezet, ha a megfelelés alatt nem legyártandó szabályzat-halmokat ért, hanem a vállalat hatékony napi működésének biztosítékaként kezeli őket. „Ahelyett, hogy rengeteg energiát fektetünk egy többnyire végeláthatatlan dokumentumhalmaz megírásába, amelyet senki a kezébe nem vesz, és egy-két évente újra- és újraírnak, sokkal fontosabb például, hogy megfelelően dokumentáljuk a folyamatainkat, amire sokkal alkalmasabb egy jól kialakított folyamatábra, mint egy 70 oldalas írásmű”, hiívja fel a figyelmet egy lényeges szempontra Vér Zsuzsanna. Fontos még az ISO-megfeleléseknél, hogy a szervezet rendszerben gondolkodjon: legyen tisztában a stratégiai célokkal, az azok eléréséhez szükséges folyamatokkal, a kockázatokkal, azok csökkentésének módozataival. Ha ezek rendben vannak, a szervezet már meg is tette az ISO-bevezetés (vagy a különféle jogszabályoknak való megfelelés) felé vezető út felét. Ennek a folyamat- és kockázatközpontú szemléletnek a kialakítását és naprakészen tartását könnyíti meg egy vállalatigazgatási rendszer.
Egyszerre akár többet is
Komoly hozadéka az így végzett munkának, hogy egyetlen ISO-rendszer sem fog szigetként működni a vállalaton belül. Ha a szervezet csak az ISO 27001-re koncentrál (csak az információbiztonsági kockázatokat veszi számba és értékeli), nem fog tudni az egyéb működési kockázatokról, így arról sem, hogyan viszonyulnak ezek a kockázatok egymáshoz. Ám ha előtte elvégzik a folyamatok, kockázatok teljes felmérését egy közös keretrendszerben, nem követik el ezt a hibát. Az eredmények nemcsak tovább elemezhetők, de összehasonlíthatók is lesznek – mondja Vér Zsuzsanna. A másik nagy előny, hogy az integrált igazgatási rendszerben felmért folyamatok, kockázatok és egyéb elemek olyan közös információhalmazt jelentenek, amelyre építve több különféle szabályozásnak is könnyen megfelelnek a vállalatok. Kézenfekvő példa az információbiztonsági kockázatkezelési projekt összekötése a GDPR vagy éppen az üzletmenet-folytonossági projektekkel. Nem kell bizonyos feladatokat többször el- végezni – ami idő- és pénzpocsékolás –, és az azonos alapfeltevésekből kiinduló felmérések és eredményeik megismételhetők, hitelesek lesznek. A feldolgozott és tovább elemzett információk egységes vállalati tudássá állnak össze és az elkerülhetetlen változások is könnyen átvezethetővé válnak az egyes ajánlásokon.
A cikket az ITBusiness magazin készítette Vér Zsuzsannával, az ADAPTO Solutions Konzulensével.