GoldenLine
Zaloguj się
Krzysztof Piotr Napiórkowski

Krzysztof Piotr Napiórkowski Pełnomocnik ds.
Systemu Zarządzania
Jakością i
Wewnętrzne...

Temat: Szeroki zakres zaleceń auditu zewnętrznego

Jak się drodzy Grupowicze zapatrujecie na taką sytuację. Auditor zewnętrzny zostawił nam kilka zaleceń, z których część dotyczy infrastruktury i środowiska (6.3, 6.4). Wśród nich są zalecenia nie wynikające z przepisów prawa, lecz z normy ISO 27001:2007, której nie mamy wdrożonej (jedynie 9001). Zalecenia są niestety bardzo kosztowne w realizacji. Co teraz?
Link do wypowiedziLink
Marek Piotrowski

Marek Piotrowski Właściciel, Petersen
Consulting

Temat: Szeroki zakres zaleceń auditu zewnętrznego

Po pierwsze - jak zinterpretować sformułowanie "zalecenia"? Formalnie auditor powinien zgłaszać niezgodności i OFI, a nie zalecenia.

Po drugie - specyficzna sytuacja jeżeli jest przedstawicielem klienta. Z jednej strony "nasz klient nasz pan", a z drugiej strony, czy pan zamierzasz za to zapłacić panie kliencie, bo jak nie to nie zawracaj pan głowy.

Po trzecie - auditor nie powinien narażać auditowanej firmy na koszty, chyba że potrafi to uzasadnić wymaganiami normy lub przepisami prawnymi. Jeżeli potrafi uzasadnić - to płacić i nie dyskutować.
Link do wypowiedziLink
Krzysztof Piotr Napiórkowski

Krzysztof Piotr Napiórkowski Pełnomocnik ds.
Systemu Zarządzania
Jakością i
Wewnętrzne...

Temat: Szeroki zakres zaleceń auditu zewnętrznego

Nasz audytor nazywa to w raporcie "Potencjałami wymagającymi dalszego doskonalenia". Nie wskazał naruszenia normy ani przepisów - po prostu nie spodobały mu się rozwiązania stosowane w naszej serwerowni. Normą mamy objęty handel, dodam ;)Audytor nie jest przedstawicielem klienta, tylko instytucji przyznającej nam certyfikat - to ostatni audyt "trzeciej strony" przed audytem odnowienia.
Link do wypowiedziLink
Zbigniew Banaśkiewicz

Zbigniew Banaśkiewicz Quality, H&S and
Security Manager

Temat: Szeroki zakres zaleceń auditu zewnętrznego

Krzysztof Piotr Napiórkowski:
Jak się drodzy Grupowicze zapatrujecie na taką sytuację. Auditor zewnętrzny zostawił nam kilka zaleceń, z których część dotyczy infrastruktury i środowiska (6.3, 6.4). Wśród nich są zalecenia nie wynikające z przepisów prawa, lecz z normy ISO 27001:2007, której nie mamy wdrożonej (jedynie 9001). Zalecenia są niestety bardzo kosztowne w realizacji. Co teraz?

Przedstaw zalecenia na przeglądzie kierownictwa, niech zostaną przedyskutowane, sporządź odpowiednie zapisy co do podjętych decyzji.
Link do wypowiedziLink
Rafał Kmiecik

Rafał Kmiecik Business Development
Manager/Audytor
Wiodący

Temat: Szeroki zakres zaleceń auditu zewnętrznego

Zbigniew Banaśkiewicz:

Przedstaw zalecenia na przeglądzie kierownictwa, niech zostaną przedyskutowane, sporządź odpowiednie zapisy co do podjętych decyzji.

Warto skorzystać...Jeśli zalecenia są zasadne ekonomicznie i podnoszące efektywność przyjętych rozwiązań organizacyjnych czy technicznych...Możliwe, że jedynie częściowe ich wdrożenie okaże się korzystne dla Was...

Jeśli nie, zgadzam się z Kolegą cytowanym powyżej. Temat na Przegląd i ad acta:-).
Link do wypowiedziLink
Tomasz Staniaszek

Tomasz Staniaszek Security Manager,
Flextronics
Logistics Poland,
Łódź

Temat: Szeroki zakres zaleceń auditu zewnętrznego

Krzysztof Piotr Napiórkowski:
Nasz audytor nazywa to w raporcie "Potencjałami wymagającymi dalszego doskonalenia". Nie wskazał naruszenia normy ani przepisów - po prostu nie spodobały mu się rozwiązania stosowane w naszej serwerowni. Normą mamy objęty handel, dodam ;)Audytor nie jest przedstawicielem klienta, tylko instytucji przyznającej nam certyfikat - to ostatni audyt "trzeciej strony" przed audytem odnowienia.

być może chodzi o kwestie bezpieczeństwa danych przechowywanych i przetwarzanych na waszych serwerach. jeśli coś się stanie z serwerem nie będziecie mogli realizować waszej 9001-certyfikowanej usługi. potraktujcie jako dobre rady, do przeanalizowania.
Link do wypowiedziLink
Grzegorz Krzemiński

Grzegorz Krzemiński 600+ projektów w
bezpieczeństwie |
Trener | RODO | HSSE
|...

Temat: Szeroki zakres zaleceń auditu zewnętrznego

Skąd wiesz, ze wynikają z ISO 27001, a nie z przepisów? Podał podstawę?
Link do wypowiedziLink
Marek Piotrowski

Marek Piotrowski Właściciel, Petersen
Consulting

Temat: Szeroki zakres zaleceń auditu zewnętrznego

Krzysztof Piotr Napiórkowski:
Nasz audytor nazywa to w raporcie "Potencjałami wymagającymi dalszego doskonalenia". Nie wskazał naruszenia normy ani przepisów - po prostu nie spodobały mu się rozwiązania stosowane w naszej serwerowni. Normą mamy objęty handel, dodam ;)Audytor nie jest przedstawicielem klienta, tylko instytucji przyznającej nam certyfikat - to ostatni audyt "trzeciej strony" przed audytem odnowienia.

Skoro potencjały to tak jak napisał Zbig - do przeanalizowania i oceny w gronie kierowniczym. Ale do przeanalizowania tak na poważnie. Z konkretnymi decyzjami. Albo na TAK (i co z tym dalej - plan), albo na NIE (i dlaczego na nie).
Link do wypowiedziLink
Michał Klocek

Michał Klocek Auditor wiodący,
Jednostka
Certyfikująca

Temat: Szeroki zakres zaleceń auditu zewnętrznego

Tak jak wyżej. Według oceny PCA - OFI czyli potencjały do doskonalenia auditor może napisać tylko wtedy gdy w danym obszarze jest pełna zgodność.
Czyli nie musisz sugestii auditora zrealizować. Natomiast mogę podejrzewać że nie do końca są to OFI a raczej tzw. słabe strony ale bez konkretnego przykładu więcej nie jestem w stanie napisać.
pozdrawiam,
Link do wypowiedziLink
« Wróć do tematów
Odpowiedz

Podobne tematy


Następna dyskusja:

ISO 14001 2015 zakres




Wyślij zaproszenie do
Anuluj