Skąd się wzięły branżowe normy ISO?

Fenomen ISO serii 9000 jest określeniem spotkanym w opracowaniach dotyczących zarządzania i związany jest z powszechnością i liczbą certyfikowanych systemów. Do końca 2005r. wydano około 800000 certyfikatów ISO 9001. Zgodnie z założeniami ISO 9001 może być stosowana w dowolnych organizacjach i stanowić podstawę systemowych rozwiązań. Jednak w przypadku niektórych branż wymagania ogólne ISO 9001 pozostawiają dużą swobodę doboru rozwiązań, co zostało uznane za niewystarczające. Niektóre z branż stosują swoiste dla siebie, ale ich główny szkielet opiera się na normie ISO 9001. Spowodowało to również trochę inne spojrzenie na definicję systemu zintegrowanego zarządzania.

Systemy zarządzania jakością w Informatyce – ISO/ICE 27000:

• Informacja ma dla wielu organizacji znaczenie strategiczne. Od jej dostępności i jakości zależy trafność i szybkość podejmowania decyzji

• Bezpieczeństwo informacji oznacza zachowanie poufności, integralności oraz dostępności

Poufność – to zapewnienie dostępu do informacji tylko osobom upoważnionym

Integralność – to zapewnienie dokładności i kompletności informacji oraz metod jej przetwarzania takich, by zapewnić, że informacja pochodzi z wiarygodnego źródła i nie wprowadzano niepożądanych zmian

Dostępność – to zapewnienie, że osoby upoważnione mają do niej swobodny dostęp.

Bezpieczeństwo informacji może być osłabione w wyniku tzw. podatności zasobów na działanie zagrożeń. Zagrożenia te mogą pochodzić od:

• Człowieka: np. skasowanie pliku, hakerzy w systemie, niewiedza i niefrasobliwość pracowników

• Ze środowiska, np. zalanie, pożar, itp.

• Od sprzętu, np. awaria, niewłaściwe skonfigurowanie, brak odpowiednich programów antywirusowych

Stały wzrost poziomu zagrożenia związanego z bezpiecznym przetwarzaniem informacji jest motorem podjęcia wdrożenia odpowiednich norm dotyczących systemu zarządzania bezpieczeństwem informacji

System zarządzania bezpieczeństwem informacji (SZBI) ISO/IEC 27001:2007 – Technika Informatyczna – Technika Bezpieczeństwa – Systemy Zarządzania Bezpieczeństwem Informacji – Wymagania

System ten opiera się na podejściu procesowym i jest zgodny z modelem PDCA i polega na:

• Zrozumieniu biznesowych wymagań bezpieczeństwa informacji oraz potrzeby ustanowienia polityki i celów BI

• Wdrażaniu i eksploatowaniu zabezpieczeń związanych z zarządzaniem ryzykiem

• Monitorowaniu i przeglądzie wydajności i skuteczności systemu

• Ciągłym doskonaleniu na podstawie obiektywnego pomiaru

Wymagania ISO/IEC 27001 zawarte są w punktach normy:

4. System zarządzania bezpieczeństwem informacji (SZBI)

5. Odpowiedzialność kierownictwa

6. Audyt wewnętrzny SZBI

7. Przegląd SZBI realizowany przez kierownictwo

8. Doskonalenia SZBI

Polityka SZBI powinna określać wymagania biznesowe, prawne, nadzoru, wynikające z umów z klientami oraz kryteria według których ma być szacowane ryzyko dotyczące bezpieczeństwa. Norma nie narzuca sposobu szacowania ryzyka, ale określa czynności jakie powinna w tym celu wykonać organizacja. Proces szacowania ryzyka poprzedza:

• Określenie zasobów oraz właścicieli tych zasobów

• Określenie podatności, które mogą być wykorzystane przez zagrożenia

• Określenie skutków, jakie mogą wystąpić w stosunku do aktywów w przypadku utraty poufności, integralności i dostępności

Na szacowanie skutków wystąpienia ryzyka składa się:

• Wyznaczenie poziomu ryzyka (w przyjętej skali)

• Stwierdzenie, czy poziom ryzyka jest akceptowalny, czy też wymaga podjęcia działań korygujących

Dokumentem podsumowującym proces szacowania ryzyka jest tzw. Deklaracja stosowania (SoA), która dokumentuje ustalone przez organizacje cele stosowania zabezpieczeń oraz zakładane zabezpieczenia. Ich zakres określa załącznik A normy. Deklaracja SoA jest obowiązkowym dokumentem systemu, a szczegółowe informacje dotyczące wyrobu i zastosowania zabezpieczeń podano w ISO/IEC 17799 – Praktyczne zasady zarządzania bezpieczeństwem informacji.

Po oszacowaniu ryzyka należy opracować „Plan postępowania z zagrożeniami”. Plan ten powinien określać metodę postępowania z zagrożeniami, wdrożone zabezpieczenia, proponowane zabezpieczenia, czas na działanie oraz zakresy obowiązków pracowników

Norma wymaga wdrożenia odpowiednich procedur umożliwiających wykrywanie naruszenia bezpieczeństwa informacji. Wiążę się to z opracowaniem planów awaryjnych, planowaniem ciągłości działania. Plany awaryjne powinny zawierać definicje potencjalnych zdarzeń kryzysowych, listę osób odpowiedzialnych za ogłaszanie stanu kryzysu z zakresem ich obowiązków.

System zarządzania bezpieczeństwem informacji jest stosunkowo nowym dynamicznie rozwijającym się systemem w związku z ciągłym rozwojem IT, jak i nowymi zagrożeniami. Seria norm ISO 27000 jest aktualnie rozbudowywana i obejmuje coraz to nowe normy. Normy te obejmują: zasady zarządzania bezpieczeństwem informacji, przewodnik do wdrożenia SZBI, zarządzanie ryzykiem, przewodnik dla akredytowanych jednostek do przeprowadzenia SZBI

Systemy zarządzania jakością w branży medycznej

Pierwsza europejska norma dotycząca przemysłu medycznego ukazała się w 1993r. W 200r. pojawiło się najważniejsze wydanie normy EN ISO 13485 – Systemy jakości – Wyroby medyczne – Szczególne wymaganie, które są bardziej specyficzne niż w normie ISO 9001. Norma ta ma zastosowanie gdy konieczna jest ocena jakości dostawcy wyrobów medycznych. Łącznie z normą 9001 definiuje się wymagania dotyczące systemów jakości, odnoszące się do projektowania, prac rozwojowych, produkcji, instalowania i serwisu wyrobów medycznych.

W branży medycznej obowiązują również następujące normy:

• ISO 13485 – Systemy jakości – wyroby medyczne – wymagania dla celów przepisów prawnych

• ISO/TR 14949 Wyroby medyczne - Systemy zarządzania jakością – Wytyczne do stosowanie ISO 13845

• ISO 15189 Laboratoria medyczne – Szczególne wymagania dotyczące jakości i kompetencji

• ISO 15195 Medycyna laboratoryjna, wymagania dla referencyjnych laboratoriów pomiarowych (norma do akredytacji)

• IWA 1 (International Workshop Agrement) – Wytyczne dla doskonalenia w organizacjach służby zdrowia – Wytyczne opierają się na ISO 9004 i są poszerzone o zagadnienia specyficzne dla służby zdrowia

Systemy zarządzania jakością w branży motoryzacyjnej:

Unormowania dotyczące branży motoryzacyjnej są bardzo restrykcyjne i producenci samochodów stwierdzili, że wymagania norm ISO serii 9000 są obowiązujące ale niewystarczające. Od wielu lat najwięksi przedstawiciele przemysłu motoryzacyjnego dążyli do wprowadzenia bardziej restrykcyjnych warunków jakie powinni spełnić współpracujący z nimi dostawcy. Przemysł ten okazał się wiodącym w zakresie rozwoju programów certyfikacji dostawców. Do znanych w tym zakresie standardów należą:

• System jakości QS 9000

• System jakości VDA 6.1

• System jakości ISO/TS 16949

System jakości QS 9000

Za pewną tendencję rynkową uznaje się unifikację wymagań w zakresie kształtowania jakości przybierającą postać coraz to liczniejszych aktów normatywnych, które stanowią wymagania stawiane dostawcom. Wiodące organizacje na rynku motoryzacyjnym ustanowiły własne programy doskonalenia jakości, narzucając określone wymagania dostawom. Najważniejszym z nich jest system „Wielkiej Trójki” – Daimler-Chrysler Corp., Ford Motor Corp. i General Motors Corp. standard QS 9000. Standard ten ma zastosowanie do wszystkich dostawców wewnętrznych i zewnętrznych tych koncernów.

Standard QS 9000 dotyczy w szczególności dostawców:

• Materiałów produkcyjnych

• Części i podzespołów międzyoperacyjnych oraz części zamiennych

• Odróbki cieplnej, malowania, chromowania itp., a także wszelkich innych prac wykończeniowych

• Ponadto opracowane zostały wymogi dotyczące dostawców narzędzi, maszyn oraz innych urządzeń operacyjnych

Standard QS powinien pozwolić zminimalizować uciążliwość wielokrotnej oceny rzetelności potencjalnych i obecnych dostawców oraz zapewnić, że produkowane samochody będą odpowiadały oczekiwanej przez użytkowników jakości.

Dostawca chcący sprostać QS 9000 powinien ustanowić krótko i długofalowe biznes plany w zakresie określających przedsięwzięć, tj. plany jakości, wskazujące jednoznacznie etapy oceny i weryfikacji jakości przy realizacji nowych wyrobów, począwszy od weryfikacji jakości dostaw do prototypu. Standard ten wymaga również ustanowienia systemu ciągłej poprawy w kluczowych obszarach działalności firmy, wskazującego mechanizmy identyfikacji szans oraz monitoring stopnia spełnienia bieżących i identyfikacji przyszłych potrzeb klientów. QS 9000 stawia także wymagania wobec organizacyjnych i technicznych zdolności do realizacji „dostaw na czas” (Just in time)

System QS składa się z trzech sekcji podstawowych

• Sekcja 1 – obejmuje wszystkie 20 podstawowych wymagań znajdujących się także w normie ISO 9001 oraz formułuje podstawy systemu QS 9000

• Sekcja 2 – obejmuje tzw. specyficzne wymagania sektorowe, przewyższające znacznie wymagania opisane w normie ISO 9001, a dotyczące takich zagadnień jak: proces zatwierdzania części produkcyjnych, ciągłe doskonalenie oraz zdolność produkcyjna.

• Sekcja 3 – obejmuje unikalne, tzw. specyficzne wymagania klienta, jakie stawiają niezależnie od siebie przedstawiciele „Wielkiej Trójki” wobec poddostawców. Za każdym razem dostawca musi przedyskutować te wymagania, zarówno w odniesieniu do aktualnych jak i przyszłych kontraktów. Dodatkowe wymagania odnośnie systemu jakości poddostawcy pochodzą z własnej dokumentacji opracowanej przez poszczególnych producentów „Wielkiej Trójki” oraz producentów ciężarówek, m.in. Mac Tracks, Peterbilt Trucks

Norma ISO 9001 stanowi pewnego rodzaju nadkładkę dla wymagań poszczególnych koncernów.

Z zasady niedopuszczalne są jakiekolwiek niezgodności w stosunku do wymagań QS 9000, co może oznaczać że niezgodność ujawniona podczas auditu certyfikującego jest jednoznaczna z nie uzyskaniem certyfikatu.

Wymagania QS 9000 obligują do dokonywania wizyty i przeprowadzenia bezpośredniej wystarczalności systemu jakości dla spełnienia uzgodnionych wymagań kontraktowych u dostawców

Założenia systemu QS 9000, wynikające z ogólnych wymagań przemysłu samochodowego w USA, przedstawione są w części drugiej systemu i składają się z następujących elementów:

• Proces aprobowania części produkcyjnych i zmian w dokumentacji

• Proces ciągłych ulepszeń, celem podnoszenia jakości i efektywności

• Zdolność procesów wytwórczych

W ramach normy QS 9000 zapisane są w zbiorze podręczników wymagania:

• APQP – zaawansowane planowanie jakości

• FMEA – analiza potencjalnych wad i skutków

• MSA – analiza systemów pomiarowych

• PPAP – proces zatwierdzania części do produkcji

• SPC – statystyczne sterowanie procesem

• QSA – ocena systemu jakości

Wymagania systemu QS wynikające ze specyficznych wymagań koncernów samochodowych w USA przedstawione w części trzeciej stanowią:

• Wymagania koncernu Chrysler Co.

• Wymagania koncernu Ford Motor Co.

• Wymagania koncernu General Motors Co.

• Wymagania producentów ciężarówek

Organizacja systemów jakości QS 9000 – III edycja:

System VDA 6.1

Wymagania niemieckiego sektora motoryzacyjnego zostały sprecyzowane przez Związek Niemieckiego Przemysłu Motoryzacyjnego (Verband der Automobilindustrie e.V.) w porozumieniu z większymi przedsiębiorstwami i dostawcami. W efekcie stworzono serię norm VDA 6. Norma VDA 6.1 – I wydanie – została opublikowana w 1991r. Norma ta opiera się na ISO 9001. Jest jednak organizowana na dwóch specyficznych obszarach: kierownictwo oraz wyrób i proces. Norma ta obowiązuje wszystkich dostawców koncernów VW Group (VW, Audi, Seat, Skoda), Porsche, Adam Opel, Ford-Were.

Aktualnie funkcjonuje III wydanie normy VDA 6.1. Składa się ona z 23 elementów, w tym załącznik A1 (strategia przedsiębiorstwa), w którym przyporządkowano zestaw pytań auditowych wraz z wyczerpującym i jednoznacznym komentarzem. Stanowi to bazę do przeprowadzania auditów Systemu Zarządzania Jakością w relacji: producent-dostawca. Uważa się, że VDA 6.1 jest bardziej wymagająca niż QS 9000. Wiele koncernów stosuje jeszcze bardziej surowe wymagania. Należy do nich Mercedes-Benz, który oprócz VDA 6.1 stosuje siedem dodatkowych wymagań od swoich dostawców.

Dodatkowe wymagania technologiczne Mercedesa to:

• Prace rozwojowe nad materiałami

• Prace rozwojowe nad systemami produkcyjnymi

• Współpraca z zakładami Mercedesa

• Powtórne wykorzystanie produktów

• Aspekty ochrony środowiska u dostawcy

Standardy Jakości ISO/TS 16949

Podstawowym celem powołania nowego standardu było opracowanie jednolitych wymagań dla rynku motoryzacyjnego, stanowiących podstawę do certyfikacji, który uzyska akceptację na rynku europejskim i amerykańskim. Norma ISO/TS 16949 została opracowana przez grupę IATF (Internationa Automotive Task Force) oraz reprezentantów ISO serii 9000. Drugie wydanie ISO/TS 16949:2002 zawierało uzgodnienia pomiędzy IATF oraz stowarzyszeniem Japońskich Producentów (JAMA). Wielkoseryjny charakter w przemyśle samochodowym, wymuszająca kooperację powodują, że jakoś wyrobu końcowego zależy od wielu specyficznych uwarunkowań.

Schemat harmonizacji norm światowego przemysłu motoryzacyjnego:

System jakości oparty o standard ISO/TS 16949 obejmuje swym zakresem cały cykl tworzenia wyrobu, a więc od organizacji firmy i systemu jakości poprzez działania poznawania rynku, etapy projektowania, wytwarzanie, kontrole i badania, podejmowanie działań korygujących i zapobiegawczych, aż do wysyłki wyrobu do klienta.

Standard zbudowany jest tak aby:

• W każdym punkcie najpierw przywołana była norma ISO 9001

• Następnie podane są dodatkowe wymagania

• Zharmonizowanie dla wcześniejszych standardów przemysłu motoryzacyjnego

Dodatkowe wymagania dotyczą zarówno kwestii inżynierskich jak i zagadnień związanych ze skutecznością I efektywnością systemu. Te szczególne wymagania dotyczą:

• Dokumentacji technicznej

• Planowanej jakości

• Zakupów

• Analizy systemów pomiarowych

• Badania wyrobów niespełniających wymagań

• Przeprowadzenia audytów

Oraz innych obszarów i działań, uznawanych za ważna w uzyskaniu skutecznych i efektywnych procesów wytwarzania.

Standard ISO/TS 16494 odróżnia od ISO 9001:

• Podkreślenie znaczenia klienta i jego satysfakcji

• Normatyw ISO/TS 16494 ukierunkowany jest na zapobieganie niezgodnościom, a nie likwidowanie ich skutków

• Działania w sposób wyraźny ukierunkowane są na ciągłe doskonalenie i minimalizowanie strat i kosztów

• Zwraca uwagę na znaczenie odpowiedzialności producenta za wyrób

• Podkreśla znaczenie tworzenia planów jakości i kontroli

• Zobowiązuje do ścisłej współpracy z klientem, szczególnie na etapie tworzenia wyrobów

Standard jakościowe w przemyśle lotniczym AS 9000 i D1-9000

W opracowaniu nowych wymagań brału dział takie firmy jak: Allied Signal, Allson Enigne Company, Boeing, General Electric Engines, McDonnel Douglas oraz inne światowe koncerny.

Standard AS 9000 opiera się na 20 punktach ISO 9001, a dodatkowo uwzględnia 28 specyficznych wymagań lotniczych, opracowanych przez Federal Aviation Administration (FAA) oraz przez Departament of Demence (DOD)

W 1997r. AS 9000 uznany został w USA za normę krajową i stanowi ważny krok w kierunku normalizacji wymagań w przemyśle lotniczym.

Do najistotniejszych korzyści można zaliczyć:

• Wykazanie zgodności z wymaganiami norm ISO serii 9000 oraz specyficznymi wymaganiami branżowymi

• Wprowadzenie atmosfery porozumienia wśród producentów przemysłu lotniczego przez zunifikowanie funkcjonujących do tej pory wymagań

• Zarządzanie, którego celem jest osiągnięcie bezpieczeństwa i niezawodności wytwarzanych wyrobów

Standard D1-9000 jest zespołem wymagań opracowanym przez firmę Boeing Co., która pomimo istnienia standardu AS 9000, od swoich poddostawców wymaga wypełnienia własnych kryteriów jakościowych, ponieważ własne wymagania uznał za wyższe i skuteczniejsze, szczególnie w odniesieniu do problemu bezpieczeństwa pasażerów.

System zarządzania JAR-145

Wspólne Władze Lotnictwa Cywilnego – JAA (Joint Aviation Authorities), czyli 23 kraje europejskie w tym Polska, uzgodniły wspólne, ogólne i szczegółowe przepisy lotnicze w postaci norm, zwane Joint Aviation Requirements (JAR). Celem tych przepisów jest:

• Ułatwienie przedsiębiorstwom certyfikacji w przypadku joint venture, ułatwienie eksportu i importu wyrobów lotniczych

• Zapewnienie, by obsługa dokonana w jednym z krajów europejskich była uznawana przez władze lotnictwa cywilnego innego kraju

Zgodnie z przepisami JAR-145 żaden samolot, śmigłowiec lub sterowiec nie może być dopuszczony do lotów bez poświadczenia o zdatności wydanego przez organizację obsługową mającą stosowne orzeczenie upoważniające do obsługi.

Wymagania w przemyśle zbrojeniowym AQAP:

W przemyśle zbrojeniowym państw NATO przyjęto politykę jakości, która zakłada:

• Pełną odpowiedzialność wszystkich zaangażowanych stron (użytkownika, zamawiającego, dostawcy, personelu) za jakość wyrobu w ramach GQA (Government Quality Assurance, Rządowe Zapewnienie Jakości)

• Szacowanie ryzyka związanego z realizacją kontraktu, na podstawie którego podejmuje się decyzję o przeprowadzeniu GQA

W 1987 państwa NATO podjęły decyzję o przyjęciu normy ISO 9001 jako podstawy formułowania wymagań dotyczących zapewnienia jakości przez dostawców wyposażenia i sprzętu na cele wojskowe.

Obowiązujące dokument AQAP oparte na normie ISO 9001 to:

• AQAP 2110, wyd.2 – Wymagania NATO dotyczące zapewnienia jakości w zaprojektowaniu, pracach rozwojowych i produkcji

• AQAP 2120, wyd. 2 – Wymagania NATO dotyczące zapewnienia jakości w produkcji

• AQAP 2130 wyd. 2 – Wymagania NATO dotyczące zapewnienia jakości w kontroli i badaniach

• AQAP 2210, wyd. 1. – Wymagania uzupełniające NATO do AQAP 2110 dotyczące zapewnienia jakości oprogramowania

• AQAP 2105 wyd. 1 – Wymagania NATO dotyczące planów jakości dla wyrobu zamawianego

W celu nadzorowania i monitorowania systemu jakości dostaw obowiązują:

• STANG 4107 – który ustala zasady nadzorowania systemu zarządzania jakością dostaw, zwanego procesem rządowego zapewniania jakości (GOA)

• AQAP – 2000 – polityka NATO dotyczące zintegrowanego systemowego podejścia do jakości w cyklu życia wyrobu

Poszerzenia wymagań AQAP w stosunku do wymagań ISO 9001 objemują:

• Umożliwienie zamawiającemu dostępu do wszystkich dokumentów związanych z umową

• Konieczności opracowania do każdej umowy planu jakości

• Uzyskania w zakresie nadzorowania wyposażenia do monitorowania i pomiarów zgodności z normą ISO 10012

• Uzupełnienia wymagań związanych z realizacją wyrobu o zarządzanie konfiguracją i zagadnienia niezawodności i możliwości obsługiwania wyrobu (ARMP – Publikacje Standaryzacyjnych Niezawodności i Obsługiwalności)

• Objęcia programem auditów wewnętrznych wszystkich wymagań zwartych w umowie i przekazywanie informacji o wszystkich stwierdzonych niezgodnościach zamawiającemu

• Obecności zamawiającego lub przedstawiciela wojskowego w trakcie odbioru wyrobu

• Akceptacji przez zamawiającego wszelkich napraw, przeróbek i dopuszczeń w zakresie nadzoru nad wyrobem niezgodnym.