Automatisering av ISO-revisjoner
Ingeniør
Leder for prosessautomatiseringsavdelingen i Visma ITC
Ingeniør
Quality Coordinator at Visma IT & Communications AS
I denne artikkelen ønsker vi å tegne opp en visjon rundt automatisering av ISO-revisjoner. Målet er å få en kontinuerlig og automatisk kvalitetssjekk, som igjen gir mindre feil og raskere feilretting, mindre manuell jobb samt færre skippertak og jevnere kvalitetsarbeid.
Hva er en ISO revisjon?
Kontroll av ISO-sertifiseringen, dens klausuler, og firmaets egne krav til seg selv
Hjelpe med effektivisering og forbedring av deres styringssystem, og at disse er passende i henhold til firmaets mål
Oppfølging av funn fra tidligere revisjoner
Generere revisjonsrapporter med funn som er del av grunnlaget for videre arbeid med kvalitet
Tid, menneskelige feil, gjentagelse av arbeid og et generelt press på ressursene er punkter som hver eneste bedrift kjenner igjen når en revisjon kjøres. Vi vet også at ISO-revisjoner både blir flere og øker i kompleksitet.
I IT har det vært svært mye fokus på personvern og sikkerhet i lang tid. Flere og flere aktører vil bruke dine data for alt fra politisk innflytelse til ID-tyveri. God behandling av data er derfor i alles interesse.
Mange og detaljerte krav
Virksomheter som ISO-sertifiseres, vil gjerne se helt konkret og detaljert informasjon om sin virksomhet og data som finnes i egen virksomhet. Virksomhetene ønsker for eksempel at de til enhver tid skal kunne verifisere alle data som er registrert på en tidligere kunde. De forventer å se logger som viser at kunder er fjernet, alle data skal være slettet fra systemene de bruker og alle sikkerhetskopier skal være destruerte.
Det må da tas hensyn til både personvern samt nasjonale og internasjonale lovverk i tillegg til logger, saker, prosedyrer m.fl., da slik informasjon skal samles inn og potensielt deles.
Kundene er viktig
For en tjenestebedrift som ønsker å bli ISO-sertifisert, vil kundene være en viktig faktor når det gjelder hva som styrer bedriftens egne mål. Dette er ikke bare sunn fornuft, men speiles også i ITIL-rammeverket (ITIL = Information Technology Infrastructure Library) og ISO-standarder der kunde og leverandør deltar sammen for å sette mål. Et av kravene som bedriften må oppfylle og bevise for revisorer for å kalle seg en ISO-sertifisert bedrift, er at bedriften følger opp disse målene sammen med kunden.
Hva et sertifikat betyr i praksis
Et ISO-sertifikat er et bevis overfor kunder om at en virksomhet jobber etter en internasjonal standard på en effektiv kontrollert måte og at dette er revidert av selvstendige organer. Et sertifikat viser også at virksomheten er åpen i forhold til det arbeidet som gjøres og til firmaets prosesser.
ISO-sertifikatet skal gi trygghet til kunden og bygge tillit til at organisasjonen jobber kontinuerlig med å levere bedre og tryggere tjenester til kunden. Innen IT er denne tilliten spesielt viktig siden virksomheten behandler både virksomhetenes informasjon og virksomhetenes kunders informasjon. Å ikke være i samsvar med gjeldende lover, både nasjonale og internasjonale, gir risiko for finansielle tap og svekket omdømme.
Sannhetsproblemet
En av de store utfordringene i forhold til ISO-sertifisering, er verifisering av hva selskapet hevder, samt hente bevis for prosesskontroll. En ISO-revisor vil nødvendigvis måtte hente mye prosessdata sammen med selskapet han reviderer og da stole på disse i forhold til tidsangivelser og faktisk flyt i prosessen.
Sikring av eksisterende sertifikater
Å sertifisere seg etter ISO-standarder er mer enn et prosjekt med en begynnelse og slutt, det er et kontinuerlig arbeid som alle i virksomheten er involvert i. Det lages en plan for selve sertifikatet der man hvert tredje år har en fullstendig resertifiseringsrevisjon av alle standardens punkter. I tillegg er det årlige overvåkningsrevisjoner der man går over en undergruppe av kontrollene. Både de årlige overvåkningsrevisjonene og den fullstendige revisjonen hvert tredje år inneholder interne og eksterne revisjoner som utføres av separate revisjonsorgan.
Internrevisjonene brukes til å gå gjennom årsplanen for revisjon og for å sikre at firmaet utvikler seg i riktig retning. Her skal bevis på dokumentasjon samles, kontrolleres, og personer intervjues før revisor til slutt gir en rapport om funn.
Den eksterne revisjonen bruker egen revisjonsplan og i tillegg funn fra internrevisjonen når de går gjennom materiale, ofte med nye krav til dokumentasjon, kontroller og personers innspill.
Dette blir til slutt et stort løp med flere røde perioder for virksomheten, siden ikke alle ISO-revisjoner kan tas samtidig.
Omfattende støtteapparat
For å innfri dette arbeidet må det et støtteapparat til i organisasjonen som kontinuerlig jobber med å kontrollere, forbedre og utvikle alle tjenester, prosesser og roller. For de fleste organisasjoner medfører dette et stort press på personer og tid, spesielt siden dette arbeidet gjerne gis til en eller flere som i tillegg skal oppfylle sitt normale ansvar.
I dag holder for eksempel vi i Visma ITC fem ISO-sertifikater, og jobber mot det sjette, disse blir til tre løp med seks revisjoner totalt. Det gir seks runder med datainnsamling, møter, intervjuer og oppfølging.
For de som skal gjøre sertifiseringen, er ofte svært detaljerte kravspesifikasjoner fra de enkelte kundene en utfordring. En kunde kan kanskje komme med en liste med hundre kontrollpunkter der de ønsker å få et detaljert svar for hvert eneste punkt på sin løsning. Hvis man har hundre punkter, og hundre kunder, setter det gjerne en stopp for resten av arbeidet i en organisasjon.
Automatisering
Ved automatisering av sertifiserings- og kontrollarbeidet vil en virksomhet få mye mer innblikk i det arbeidet som gjøres. Det gir data og oversikt på et mye høyere nivå slik at virksomheten kan ta bedre beslutninger på hvilke områder som trenger fokus, samt fjerner et ujevnt press på ressurser i noen få, men meget hektiske perioder.
Første skritt i en automatiseringsprosess er å få kontroll over data i bedriften og sikre disse med tanke på manipulasjon.
Det er dette en blokkjede er skapt for, og sees best slik, se figur:
Skritt 1 – Integrere alle systemer: Alle systemer som produserer relevant data for en ISO-revisjon, må integreres
Skritt 2 – Lagre data i sikre blokk- kjeder: Gjennom lagring i blokkjede vil manipulering av data bli meget vanskelig, om ikke umulig
En blokkjede består av minimum to noder som eies av to eller flere interessenter. Eierskapet gir forskjellige rettigheter til interessentene og kan typisk inndeles slik som vist under:
Blokkjede master – Eies av selskapet
BK Slave 1 – Eies av Revisjonsfirma
BK Slave 2/3 – Eies/disponseres av en eller flere kunder
Avvikshåndtering og relaterte utfordringer
Når man har kommet så langt at man har full kontroll på data og vi kan stole fullt ut på hva disse dataene forteller oss, kan vi starte med å avdekke når faktorer i informasjonen viser et avvik.
Avviksavdekking
I store selskaper er manuell informasjonsinnhenting meget tidkrevende og det er her avviksavdekking med kunstig intelligens gir nye muligheter. Dette kan for eksempel brukes i tilfeller der bedrifter av en viss størrelse ser etter måter alle data som produseres internt kan brukes på nye områder. Dette kan gjelde kryssalg, kundetilfredshet, markedsføring og ikke minst status på teknisk utstyr i kontor- og datasentrene. Det siste området skal primært sikre stabile forhold for viktige systemer, både interne og eksterne. Gjennom å få full oversikt over det tekniske utstyret som en bedrift råder over, kan man ved relativt enkle grep legge til rette for avviksavdekking rundt handlinger i miljøet.
Eksempel
La oss si at en systemadministrator skal legge mer minne på en webserver på et gitt tidspunkt. Han/hun registrerer en endringsforespørsel i endringsprogrammet med følgende informasjon:
Maskin/enhet: Server 19
Endring: Doble minnemengden fra 8 til 16 GB
Dato: 01.07.2019
Tidspunkt: 17:30
Fremgangsmåte:
Logge inn på maskin.
Slå av maskin.
Logge inn på miljøadministrasjonssystemet.
Legge til 8 GB.
Starte opp maskin og logge på.
Verifisere at minne er lagt til og at alt fungerer på maskinen.
Gitt at avvikssystemet har tilgang til både 1) endringssystemet og 2) loggsystemet for alle maskiner, kan denne aktiviteten kontrolleres ved å se på misforhold mellom dato/tid gitt i systemet og hva loggen forteller. I tillegg kan selvfølgelig systemet reagere på en logghendelse som ikke er registrert i det hele tatt.
Alt her kan kontrolleres i etterkant og manuelt, men i store miljøer er dette mer eller mindre umulig da det skjer endringer hele tiden og kontrollene typisk kun blir gjort hvis det oppstår feil etter en endring.
En løsning er å bruke standard algoritmer som tilpasses til bedriften og data som finnes der, slik som tegningen på neste side viser.
Hvordan komme dit?
De springende punktene er, som alltid, integrasjoner mellom de forskjellige systemene og vel definerte prosesser.
I tillegg til dette er kompetansekravet i en slik løsning mer prekært enn i andre digitaliseringsprosjekter.
I tillegg til en generelt god organisasjonskultur rundt endringer og de vanlige kompetanseområdene som utvikling og generell operasjonell drift, kommer det raskt behov for kompetanse både om kunstig intelligens og blokkjeder.
Det generelle kunnskapsnivået innen kunstig intelligens er på vei oppover og betyr at det vil være lettere for bedrifter å skaffe seg denne kompetansen. Innen blokkjede er situasjonen langt fra optimal og kan by på til dels store problemer.
Sats på dataarkitekter og dataspesialister
Vårt råd til bedrifter som vil se på en mulig implementering av et slikt konsept er derfor å se på utfordringen fra en litt annen vinkel og behandle det som et problem med å forstå verdien av data som produseres generelt i bedriften. Dette vil igjen peke mot en satsning på datahåndtering internt og ansettelse av dataarkitekter generelt og dataspesialister spesielt.
En satsning innen datahåndtering kan bety mye i lengden og vil naturlig nok øke kunnskapen om blokkjede og dets potensielle muligheter.
Altså, ikke start med det spesielle området blokkjede, men se derimot på blokkjede som en naturlig del av et generelt løft innen dataforståelse og -behandling.
Sanntids revisjon
Når dette er på plass, gjenstår det å finne et anerkjent revisjonsfirma som vil dele denne visjonen med dere og sammen dra mot en fremtid med sanntids revisjon – og det kan på mange måter fremstå som den største utfordringen.
Oppsiden derimot, er betydelig og kan summeres i følgende punkter
-
Kontinuerlig og automatisk kvalitetssjekk, som betyr:
Mindre feil og raskere å rette på feil som oppstår
Mindre manuell jobb
Færre skippertak og mer jevnt kvalitetsarbeid
100 % sporbar endringslogg
Kunder kan, istedenfor å bli presentert en ISO-serti?sering som kan være opp mot ett år gammel, se kontinuerlig status på kvalitetsarbeidet i bedriften.
Samlet sett vil et slikt arbeid gi en god avkastning tilbake, samtidig som at selskapet som gjennomfører dette, vil oppleve synergier i form av mer kunnskap innen digitalisering og datahåndtering, som igjen kan legge grunnlaget for nye forretningsområder i bedriften.
Vi ønsker alle lykke til!