Bevezet a TISAX rejtelmeibe a QFD

A QFD, küldetésének megfelelően, segíti magyar autóipar beszállítóit abban, hogy a vevői elvárásoknak eleget tudjanak tenni, és a beszállítói láncban olyan teljesítményt nyújtsanak, mely megalapozza a hosszú távú üzleti kapcsolatokat. Minőségügyi kérdésekben rendszeresen fordulnak hozzájuk segítségért partnereink, de 2019 őszén egy sajátos kihívással találták szembe magunkat. Egy multinacionális partnerük magyarországi gyára kereste meg őket azzal, hogy ígéretet tettek egy német OEM partnernek, hogy részt vesznek egy TISAX alapú önértékelésben (self-assessment) és megszerzik azt a címkét (TISAX Label), ami ahhoz szükséges, hogy az adott partner prototípusgyártásában részt vehessenek.

A feladat megoldásához egy olyan tanácsadói teamet állított össze a QFD, melyben helyet kapott információbiztonsági irányítási rendszer (ISMS – Information Security Management System) szakértő, ISO 27001-es auditor, termékbiztonsági ügyekben járatos szakember és IT specialista is, hogy a sokirányú kihívást megfelelő szakértelemmel közelítsék meg.

Az IATF 16949 már egy sokéve ismert autóipari „mutációja” a minden iparágban alapként tekintett ISO 9001-es minőségirányítási szabványnak. Hasonlóképpen a TISAX erősen köthető a már autóipari körökben is ismert ISO 27001-hez, mely az információbiztonsági irányítási rendszerek nemzetközi szinten leginkább elfogadott és követett szabványa. A TISAX 4.0 még szoros kapcsolatot mutatott az ISO 27001 által elvárt kontrollokkal, az új TISAX már egy kicsit más felosztásban, más szemléletben kezeli a 27000-es követelményeket. Mindenesetre kimondható, hogy egy ISO 27001 alapú és már bevezetett (esetleg tanúsított) irányítási rendszer jelentős lépést jelent a TISAX megfelelőség irányába, és ugyanez igaz fordítva is: egy TISAX megfelelőségi projekt meglehetősen közel viszi a szervezetet egy ISO 27001-es minősítéshez is.

A TISAX sajátossága még, hogy termék-titkossági szintekhez (normal, high, very high) kötötten többletelvárásokat fogalmaz meg az olyan cégekkel szemben, amelyek magasabb biztonsági szintbe sorolt termékek előállításában vesznek részt a beszállítói láncban. A TISAX értékelésekbe szervesen beépülnek a GDPR által megfogalmazott személyes adatok kezelésére vonatkozó elvek is, így a TISAX az ISO 27001, a GDPR és a terméktitkossági kritériumokat hozza egy csomagban!

A TISAX nem csak egy ISMS létrehozását várja el, hanem a megfelelőség (compliance) termékszintű megvalósítását és a két értékelés, a rendszer- és termékszintű, két külön audit eseménybe torkollik. Bizonyítani kell a TISAX alapú önértékelés helyes voltát, illetve be kell mutatni, hogy a termékhez kötődően milyen további specifikus védelmi intézkedéseket (controls) valósítunk meg. Az erős lelki rokonság az ISO 27001-gyel azt jelenti, hogy az ISO 27001-ben „elrejtett” 244 kontrollt még hozzájön közel 30 olyan autóiparspecifikus kontroll, melyek bevezetése felé évek óta terelgetik beszállítóikat a nagy autógyárak.

Számos kihívással szembesülnek

A QFD tapasztalatai szerint a magyarországi ügyfeleink az alábbi kihívásokkal találják szembe magukat a TISAX kapcsán:

Lassan és töredezetten jutnak el a vevői elvárások az autóipari beszállítókhoz

Számos esetben kiderül, amikor kapunk egy levelet az autóipari vevőtől, azt kérve, hogy tegyünk eleget a TISAX követelményeknek, hogy csak egy automatikusan továbbított üzenetről van szó, melynek küldője nem tudja megmondani, hogy milyen scope-ot, milyen biztonsági szintet szeretne megkapni (hiszen ő is csak kapott egy levelet a beszállítói láncban magasabb szinten jegyzett vevőjétől és azt küldi tovább a magyar beszállítónak).

Pandémia: A COVID-19 nagy hatással bír a TISAX minősítésekre is

Egyrészt egyes országokból, bizonyos másik államokba nem utazhatnak az auditorok, így a helyszíni auditok ellehetetlenülnek, valamint mindenféle virtuális valósághoz tartozó eszközök kerülnek bevetésre. Az auditok részeként külön vizsgálják a járványkezelés bizonyos aspektusait (például: üzletmenet-folytonosság tervezés, vészhelyzeti tervek stb.), és külön COVID eljárásrendek működését is bevonják az audit scope-ba.

Erőforráshiány

Automatikusan (és helytelenül) az IT-hez telepítik a TISAX projektet, ahol erre a feladatra nincsen erőforrás, se szabvány alapú irányítási rendszerekhez kötődő tapasztalat. Egy TISAX projekt az elvárások sokrétűsége miatt csak a Minőség, az IT, a HR, a Mérnökség és Jogi osztályok, valamint szakértők együttműködésében vihető sikerre.

Kockázatelemzés

A legtöbb energiát egy valós és teljes információ-vagyonleltár összeállítása, karbantartása és a hozzá kapcsolódó kockázatértékelés elvégzése igényli. Ez a projekt erőfeszítéseinek több mint 50 százalékát teszi ki időben és energiában, amit a folyamat elején nem feltétlenül hisznek el a munkába bekapcsolódó kollégák.

Helyi kontra globális

Partnereink többsége része egy globális céghálózatnak, ahol a magyar egységnek kell globális eljárásokat követnie úgy, hogy közben a helyi specifikációkat helyi eljárásokban kell rögzítenie. Számos konfliktus vár feloldásra olyan helyzetekben, amikor mást vagy másképpen mond egy globális szabályzat, mint a helyi megvalósítható gyakorlat.

Mindezen nehézségek ellenére a karaván halad.