ISO 27001:2013 BGYS BAŞTETKİKÇİ EĞİTİMİ

Transkript

1

2 Tetkik Tetkik kriterlerinin yerine getirilme derecesini belirlemek amacıyla tetkik delilini elde etmek ve objektif olarak değerlendirmek için yapılan sistematik, bağımsız ve dokümante edilmiş proses. -İki veya daha fazla yönetim sistemi beraber tetkik edildiğinde, bu tetkik birleştirilmiş tetkik olarak adlandırılır. -Bir kuruluşun, iki veya daha fazla tetkik kuruluşu tarafından birlikte tetkik edilmesi ortak tetkik olarak adlandırılır. Uygunluk: Bir şartın yerine getirilmesi. Uygunsuzluk: Bir şartın yerine getirilmemesi.

3 1. nin Amacı a) Uygulanabilir yönetim sistem standardı veya diğer hüküm ifade eden dokümanların şartlarına uygunluk hakkındaki bilgi ve kanıt, b) Kilit performans hedefleri ve amaçlarına yönelik (uygulanabilir yönetim sistem standardı veya diğer hüküm ifade eden dokümanlarındaki beklentilerle tutarlı) performansın izlenmesi, ölçülmesi, kayıt altına alınması ve gözden geçirilmesi, c) Yasal uygunluk yönünden müşterinin yönetim sistemi ve performansı, d) Müşteri proseslerinin iş güvenliği riskleri, e) İç tetkik ve yönetimin gözden geçirmesi,

4 1. nin Amacı e) İç tetkik ve yönetimin gözden geçirmesi, f) Müşteri politikaları için yönetimin sorumluluğu, g) Hüküm ifade eden şartlar, politika, performans hedefleri ve amaçları (uygulanabilir yönetim sistem standardı veya diğer hüküm ifade eden dokümanlarındaki beklentilerle tutarlı), uygulanabilir her türlü yasal şartlar, sorumluluklar, personelin yeterliliği, operasyonlar, prosedürler, performans verisi ve iç tetkik bulguları ile sonuçları arasındaki bağlantılar.

5 2. Ana Süreçleri Planlama Açılış toplantısı Saha tetkiki Raporlama Kapanış

6 3 Planı Baştetkikçi hazırlar Saha tetkikinden önce hazırlanır, Esnek bir yapıdadır, tetkik esnasında revize edilebilir olmalıdır, Müşteri onayı ile geçerli olur, Müşteri değişiklik talebinde bulunabilir.

7 3 Planı Tetkik ekibi başkanı tetkik müşterisi, tetkik ekibi ve tetkik edilen arasında tetkikin yapılmasına ilişkin olarak anlaşmanın esasını temin etmek üzere bir tetkik planı hazırlamalıdır. Bu plan faaliyetlerin zaman planlamasını yapmayı ve tetkik faaliyetlerinin koordinasyonunu kolaylaştırmalıdır. Tetkik planında verilen detay miktarı tetkikin kapsamını ve karmaşıklığını yansıtmalıdır. Detaylar, örneğin, ilk tetkikten sonraki tetkike, iç tetkikten dış tetkike göre değişiklik gösterebilir. Tetkik planı, sahadaki tetkik faaliyetleri yapılmaya başladıktan sonra zorunlu hale gelebilecek tetkik kapsamı gibi değişikliklere izin verecek ölçüde esnek olmalıdır.

8 3 Planı Tetkik planı aşağıdakileri kapsamalıdır: a) Tetkik hedefleri, b) Tetkik kriterleri ve referans dokümanları, c) Tetkik kapsamı; tetkik edilecek organizasyon ve fonksiyonel birimlerin belirlenmesi dahil, d) Saha tetkik faaliyetlerinin yapılacağı tarihler ve yerler, e) Saha tetkik faaliyetlerinin beklenen zamanları ve süreleri; tetkik edilenin yönetimiyle yapılacak toplantılar ve tetkik ekibi toplantıları dahil, f) Tetkik ekibi üyelerinin ve refakatçilerin rolleri ve sorumlulukları, g) Tetkikin kritik alanlarına uygun kaynakların tahsisi,

9 3 Planı h) Tetkik için tetkik edilenin temsilcisinin kimliği, i) Tetkikçinin ve/veya tetkik edilenin dilinden farklı olması halinde tetkikin yapılacağı dil, j) Tetkik raporunun başlıkları, k) Lojistik düzenlemeler (seyahat, saha tesisleri), l) Gizliliğe ilişkin konular, m) Tetkik takip faaliyetleri. Bu plan, saha tetkik faaliyetleri başlamadan önce tetkik müşterisi tarafından gözden geçirilerek kabul edilmeli ve tetkik edilene sunulmalıdır. Tetkik edilenin itirazları varsa bunlar tetkik ekibi başkanı, tetkik edilen ve tetkik müşterisi arasında çözümlenmelidir. Tetkike devam etmeden önce revize edilen tetkik planı üzerinde taraflar arasında anlaşma sağlanmalıdır.

10 4 Tetkik ekibine görev verilmesi Tetkik ekibi başkanı tetkik ekibine danışarak ekibinin her üyesine belirli prosesleri, fonksiyonları, sahaları, alanları veya faaliyetleri tetkik etme görevini vermelidir. Bu görevlendirmelerde tetkikçilerin bağımsızlık ve yeterlilik özellikleri, kaynakların etkin kullanımı ile tetkikçilerin, eğitim gören tetkikçilerin ve teknik uzmanların farklı rolleri ve sorumlulukları dikkate alınmalıdır. Tetkik ilerledikçe tetkik hedeflerine ulaşmak üzere görevlendirmelerde değişiklik yapılabilir.

11 5 Çalışma dokümanlarının hazırlanması Tetkik ekibi üyeleri tetkik görevlendirmeleriyle ilgili bilgileri incelemeli, referans olarak kullanmak ve tetkik gelişmelerini kaydetmek üzere çalışma dokümanlarını hazırlamalıdır. Bu dokümanlar aşağıdakileri içerebilir; - Kontrol listelerini ve tetkik numune alma planları, - Destekleyici deliller, tetkik bulguları ve toplantı tutanakları gibi bilgilerin kaydedilmesi için kayıt formları. Kontrol listelerinin ve formların kullanılması tetkik faaliyetlerinin kapsamını sınırlamamalıdır.

12 5 Çalışma dokümanlarının hazırlanması Tetkik faaliyetlerinin kapsamı tetkik esnasında toplanan bilgilere bağlı olarak değişebilir. Çalışma dokümanları ve bunların kullanılmasıyla elde edilen kayıtlar en azından tetkik tamamlanıncaya kadar muhafaza edilmelidir. Tetkikin tamamlanmasından sonra dokümanların muhafaza edilmelidir. Gizli veya tescilli bilgi içeren dokümanlar tetkik ekibi üyelerince her Zaman uygun şekilde korunmalıdır.

13 6 Açılış Toplantısı Baş tetkikçi yürütür, dakika arasında gerçekleştirilir, Tetkik ekibi, üst yönetim ve sorumlular katılır, nin ilk aşamasıdır, Tetkik yöntemi hakkında bilgi verilir. Önemli!!! İyi gerçekleştirilen bir açılış toplantısı saha tetkikini kolaylaştıracaktır.

14 6 Açılış Toplantısı Tetkik ekibinin kendini tanıtması Katılanların kendini tanıtması ve imzalarının alınması Tetkik ekibinin özgeçmişinin kuruluşa sunulduğunun teyidinin alınması. Tetkik ekibinin belgelendirme kuruluşunu temsil ettiği ve tetkikin tüm aşamasından ve tetkik planın yürütülmesinden sorumlu olunduğunun teyidinin yapılması. Tetkikin amacının açıklanması. Tetkik kapsamının teyidinin yapılması. Tetkik tipi (belgelendirme, yendiden belgelendirme v.b) hakkında kısa bir bilgilendirme yapılması. Tetkikin başlama bitiş saatleri-aralar hakkında planlama yapılması.

15 6 Açılış Toplantısı Varsa kuruluşa özgü uyulması gereken özel kuralların (acil durum ve emniyet prosedürlerinin teyidi,) tespit edilmesi. Tetkik planına önerilerin alınması. Tarafsızlık ve bağımsızlık sözleşmesinin yapılması. Tetkik yönetimiyle iletişim kanallarının belirlenmesi. Tetkik ekibine çalışma ortamı tahsisi. Kılavuz ve Gözlemci tespiti yapılması. Tetkik edilenle yapılacak toplantıların belirlenmesi. Tetkik ekibi toplantıları hakkında firmanın bilgilendirilmesi. Uygunsuzluklar ve boyutları hakkında bilgilendirme yapılması. Bir önceki tetkik veya gözden geçirme sonucunda elde edilen bulguların durumlarının teyidinin yapılması.

16 6 Açılış Toplantısı Örnekleme usulu, tetkik yapılmasında kullanılacak metotlar ve prosedürler hakkında açıklama yapılması. Tetkik süresince müşteri tetkikin ilerlemesi ve diğer ilgilendiren konular konusunda bilgilendirileceğinin teyidinin yapılması. Raporlama methodu ve sunumu hakkında bilgilendirme yapılması Kapanış toplantısı zamanı ve kimlerin katılacağının belirlenmesi. Tetkik ekibi kararının belgelendirme kuruluşuna bir tavsiye olduğunun ve nihai kararın belgelendirme kuruluşun ait olduğunun açıklanması Denetlenelerden beklentiler.

17 7 Tetkik Esnasındaki İletişim Tetkikin kapsamı ve karmaşıklığına bağlı olarak tetkik ekibinin kendi arasında ve tetkik edilenle iletişimi için resmi düzenlemelerin yapılması gerekebilir. Tetkik ekibinin kendi arasında iletişimi, Tetkik edilenle tetkik ekibinin iletişimi.

18 7 Tetkik Esnasındaki İletişim Tetkik ekibinin kendi arasında iletişimi Tetkik ekibi ihtiyaç duydukça bilgi alış-verişi yapmak. Tetkikin ilerleme durumunu değerlendirmek. Tetkik ekibi üyeleri arasında gerekli ise yeniden görev dağılımı yapmak, Tetkik kapsamı dışındaki konularla ilgili düşünceler baştetkikçiye bildirmek. Tetkik süresince toplanan tetkik delilleri içinde her an olabilecek ciddi bir risk olduğunu gösterenler varsa bunları derhal baş tetkikçiye bildirmek.

19 7 Tetkik Esnasındaki İletişim Tetkik edilenle tetkik ekibinin iletişimi. Baş tetkikçi iletişim kurar. Tetkik süresince tetkikin ilerleme durumunu ve varsa problemli konuları tetkik edilene bildirmek. Tetkik süresince toplanan tetkik delilleri içinde her an olabilecek ciddi bir risk tetkik edilene bildirilmek. Tetkik kapsamı dışındaki konularla ilgili düşünceleri tetkik müşterisine iletilmek. Mevcut tetkik delillerinin tetkik hedeflerine ulaşmanın mümkün olmadığını göstermesi halinde, uygun işlemlerin belirlenmesi için bunun sebeplerini tetkik edilene bildirmek.

20 7 Tetkik Esnasındaki İletişim Tetkik edilenle tetkik ekibinin iletişimi. Mevcut tetkik delillerinin tetkik hedeflerine ulaşmanın mümkün olmadığını göstermesi halinde yapılacak işlemler -Tetkik planın değiştirilmesi, -Tetkik hedeflerinin değiştirilmesi, -Tetkik kapsamının değiştirilmesi, -Tetkikin sona erdirilmesi, şeklinde olabilir. Bu durumdaki karar tetkik edilen organizasyon ile birlikte gözden geçirilir ve onaylanır.

21 8 Bilgilerin Toplanması ve Doğrulanması Tetkik süresince fonksiyonlar, faaliyetler ve prosesler arasındaki ara yüzlerle ilgili bilgiler dahil olmak üzere tetkik hedefleri, kapsamı ve kriterlerine ilişkin bilgiler uygun numune alma usulü ile toplanmalı ve doğrulanmalıdır. Sadece doğrulanabilen bilgiler tetkik delili olabilir. Tetkik delilleri kaydedilmelidir. Tetkik delilleri mevcut bilgi numunelerine dayandırılır. Bundan dolayı tetkikte bir belirsizlik faktörü vardır. Tetkik sonuçlarına göre işlem yapanların bu belirsizliğin bilincinde olmaları gerekir.

22 2. Aşama Tetkik 8 Bilgilerin Toplanması ve Doğrulanması En iyi kalitedeki denetim kanıtları, gözlem (ör. kilitli bir kapı kilitlidir, insanlar anlaşmaları gizli olarak imzalar, varlık kaydı mevcuttur ve gözlenen varlıkları kapsar, sistem ayarları yeterlidir, vs.) sonucu elde edilir. Kanıtlar, bir kontrolün (ör. doğru yetkiye sahip görevli tarafından yetkilendirilen kişilere verilen erişim haklarının yazılı çıktıları, olay çözme kayıtları, doğru yetkiye sahip görevli tarafından yetkilendirilen işlem yapma yetkilileri, yönetim tutanakları (ya da başkası) vs. performans sonuçları gözlenerek toplanabilir.

23 2. Aşama Tetkik 8 Bilgilerin Toplanması ve Doğrulanması Kanıtlar, denetçi tarafından yapılan kontrollerin doğrudan bir testinin sonucu olabilir. Örneğin, yasaklanmış görevleri yapma denemeleri, kötü niyetli koda karşı korumak amacıyla yazılımın varlığı, güvenlik yazılımlarının makinelerde güncel olup olmadığı, erişim hakkının verilip verilmediği. Kanıtlar, bu hususun gerçekten doğru olup olmadığına karar vererek ve süreçler ile kontroller hakkında işçilerle/taşeronlarla görüşme yaparak toplanabilir.

24 2. Aşama Tetkik 8 Bilgilerin Toplanması ve Doğrulanması Kontrollerin uygulanıp uygulanmadığına ve belirtilen amaçları sağlayacak şekilde etkin olup olmadığına karar vermek için, kontrollerin etkinliğinin kurumsal ölçümleri dikkate alınarak kontrollerin gerçekleştirilmesi; Programların, süreçlerin, prosedürlerin, kayıtların, iç denetimlerin ve BGYS etkinliğinin incelemelerinin yönetim kararlarına ve BGYS politika ve amaçları açısından izlenebilirliğini sağlamak için bu hususların kullanılması.

25 2. Aşama Tetkik 8 Bilgilerin Toplanması ve Doğrulanması Bilgi güvenliğine ilişkin risklerin değerlendirilmesi ve yapılan değerlendirmelerin karşılaştırılabilir ve yeniden üretilebilir sonuçları sağlaması, ISO/IEC 27001:2005, Madde de listesi verilen dokümantasyon gereksinimleri, Risk değerlendirmesi ve risk tedavi süreçlerine dayalı kontrol amaçları ve kontrollerin seçilmesi, BGYS amaçlarına karşın bilgi güvenliği kontrolleri, raporlama ve incelemenin etkinliğinin ölçümleri ve BGYS nin etkinliğinin incelenmesi, İç BGYS denetimleri ve yönetim incelemeleri, Bilgi güvenliği politikası için yönetim sorumluluğu, Seçilen ve uygulanan kontroller arasındaki ilişki, uygulanabilirlik beyanı, risk değerlendirmenin ve risk tedavi sürecinin sonuçları ve BGYS politika ve amaçları.

26 2. Aşama Tetkik 8 Bilgilerin Toplanması ve Doğrulanması Organizasyonun, güvenliğe ilişkin tehditlerin analizinin uygun olduğunu ve organizasyonun çalışması için yeterli olduğunu göstermesini zorunlu kılmalıdır, Organizasyonun bilgi güvenliğine ilişkin risklerin hangisinin önemli olarak tanımlandığına dair kriterlerin belirlenmesinden ve bunu gerçekleştirmek için de prosedürler, Varlıklar, açıklıklar ve bunların uygulanmasının sonuçlarına karşın bilgi güvenliğine ilişkin tehditlerin değerlendirilmesi, incelenmesi ve belirlenmesi için organizasyonun prosedürlerinin, organizasyonun politikası, amaçları ve hedeflerine uygun olup olmadığının tespiti. Organizasyona ait varlıklara, açıklığa ya da etkisine ilişkin bilgi güvenliği tehditleri, önemli olarak belirlenirse, BGYS içinde yönetimi.

27 2. Aşama Tetkik 8 Bilgilerin Toplanması ve Doğrulanması Hukuki ve düzenleyici uygunluğun devamı ve değerlendirmesi, Organizasyonun bilgi güvenliği riskleri ve etkilerine uygulanabile hukuki ve düzenleyici uygunluğu sağlayacak bir yönetim sistemine sahip olması.

28 9 Bilgi Toplama Metotları Mülakatlar Faaliyetlerin gözlemlenmesi, Dokümanların gözden geçirilmesi.

29 9 Bilgi Toplama Metotları Bilgi Kaynakları-Örnekler Çalışanlarla mülakatlar, Risk yönetimi ve analizi, Çalışma ortamının gözlemlenmesi, Altyapını gözlemlenmesi, Şartların yerine getirilmesi, Süreçlerin incelenmesi, Malzemelerin incelenmesi, Makine ekipmanın incelenmesi, Dokümanlar uygulanabilirliği, Kayıtların varlığı.

30 9 Bilgi Toplama Metotları Bilgi Kaynakları Çalışanlar Yetkinlik, Bilinç, Eğitim, Öğrenim Deneyim, Beceri, Acemilik, Yetki, Sorumluluk

31 9 Bilgi Toplama Metotları Bilgi Kaynakları Risk yönetimi ve analizi Muhtemel riskler, Risk analiz metotları, Risk iyileştirme çalışmaları, Risk yönetim planları, Tehditler,

32 9 Bilgi Toplama Metotları Bilgi Kaynakları Çalışma ortamı Fiziksel, çevresel ve diğer etkenler Gürültü, Sıcaklık, Nem, Aydınlatma, Hava, Koku, Titreşim.

33 9 Bilgi Toplama Metotları Bilgi Kaynakları Altyapı Binalar, Çalışma alanları, Tesisler, Yazılım, Donanım, Kişisel koruyucu ekipmanlar, Ulaştırma, İletişim, Bilgi sistemleri Uyarı tabelaları, Acil durumlar için alanlar.

34 9 Bilgi Toplama Metotları Bilgi Kaynakları Şartlar Sözleşme şartları, Mevzuat şartları, Organizasyon şartları, Standart şartları.

35 9 Bilgi Toplama Metotları Bilgi Kaynakları Süreçler: Etkileşim, Tanımlanma, Verimlilik, Etkinlik, İzleme, Ölçüm.

36 9 Bilgi Toplama Metotları Bilgi Kaynakları Malzeme: Tanımlama, İzlenebilirlik, Korunma, Depolama, Tehlike sınıfları.

37 9 Bilgi Toplama Metotları Bilgi Kaynakları Makine Teçhizat: Yeterlilik, Muhafaza, Kullanım, Kalibrasyon, Bakım, Riskler.

38 9 Bilgi Toplama Metotları Bilgi Kaynakları Dokümanlar Yayın durumu, Yeterlilik, Okunabilirlik, Ulaşılabilirlik, Onay durumu, Tanımlanması, Dış kaynaklı dokümanlar, Gözden geçirilmesi.

39 9 Bilgi Toplama Metotları Bilgi Kaynakları Kayıtlar: Prosedür dokümante edilmiş mi? Standardın istemiş olduğu kayıtlar oluşturulmuş mu? Tutuluyor mu? Tanımlanmış mı? Muhafaza ediliyor mu? Saklama süresi belirlenmiş mi? Elden çıkarma yöntemleri belirlenmiş mi?

40 10 Mülakatlar Dikkat edilecek hususlar Uygun kişilerle, Çalışma saatlerinde, Çalışma alanında.

41 10 Mülakatların Yapılması Tetkik, tetkik edilenlerde olumsuz bir psikoloji oluşturabilir, bu durum göz önünde bulundurularak aşağıdakiler yapılmalıdır. Mülakat yapılan kişiyi rahatlatmak. Mülakatın yapılma sebebi açıklanmak. Not alma durumu açıklanmak. Gergin havayı dağıtmak.

42 10 Mülakatların Yapılması Mülakat esnasında kullanılan terminoloji, tetkik edilenin bilgi güvenliği yönetim sistemindeki görevi ve bilgisi göz önünde bulundurularak seçilmelidir.

43 10 Mülakatların Yapılması Soru Sormada Genel Yaklaşım-Soru Türleri- Tek cevabı olan (convergent) sorular: Genellikle bir tek cevapla karşılanabilecek bilgi ve hatırlamayı yoklayıcı türde sorulardır. Çok cevabı olan (divergent) sorular: Bir çok cevabı olan yoruma açık kavrama ve üstü düzeydeki öğrenmeleri kılavuzlayan soru türüdür. Karışık ( mixed ) sorular: Tek ya da çok cevabı olabilen soruya ya da sorana göre değişebilen türde sorulardır. Paralel sorular: Aynı öğrenme düzeyini kılavuzlayan sorulardır

44 10 Mülakatların Yapılması Sorulabilecek Tipik Sorular 5n+1K kuralı Nasıl, Ne, Ne zaman, Nerede, Kim, Niçin.

45 11 Sorul Listesi Kullanımı Soru listesi oluşturulması zorlu değildir. Tüm gereksinimlerin tetkik edildiğinin görülmesi açısından bulunması faydalıdır. ISO Çizelge A.1 - Kontrol amaçları ve kontroller çizelgesi en iyi uygulamaya ilişkin kılavuzluk sağlar.

46 11 Sorul Listesi Kullanımı Standart Soru Listesi Standart doğrultusunda Özel Soru Listesi Organizasyonun proseslerine özel

47 11 Not Alma Başlama ve bitiş saatleri, Çalışan isimleri ve görevleri, Uygunluk kanıtları, Uygunsuzluk kanıtları, Söylenenler, Problemli konular, Diğer fonksiyonları etkileyebilecek sonuçlar.

48 12 Karşılaşılabilecek Zorluklar Zaman israfı müsaade edilmemeli, kibarca tetkikte planlanan zamanının kullanılacağı hatırlatılmalı, Mümkünse yemek araları için firma dışına çıkılmamalı, Uzun süren tartışmalara girilmemeli. Düşmanca tavır Gerginlik azaltılmalı, Firmanın faydasına tetkik yapıldığı hatırlatılmalı, Tetkik ekibini müşterinin davet ettiği hissettirilmeli. Aldatma (yanıltma), Müsaade edilmemeli Konu hakkında bilginizin olduğu hissettirilmeli Çapraz kontroller yapılmalı

49 12 Karşılaşılabilecek Zorluklar Engelleme, Kibarca aşılmalı, Konular takip edilmeli Engellenen konulara erişmemiz gerektiği hatırlatılmalı Yağcılık, Kibarca aşılmalı, Tetkike ara verilmeden devam edilmeli Mümkünse tetkik dışı konulara müsaade edilmemeli.

50 13 Tetkik bulgularının üretilmesi Tetkik delilleri tetkik kriterlerine karşı değerlendirilerek tetkik bulguları üretilmelidir. Tetkik bulguları tetkik kriterlerine uyum sağlandığını veya sağlanmadığını gösterebilir. Tetkik hedefleri içinde belirtilmiş ise tetkik bulguları iyileştirme fırsatlarını da gösterebilir. Tetkik ekibi tetkik süresince uygun safhalarda tetkik bulgularını gözden geçirmek üzere toplanmalıdır.

51 13 Tetkik bulgularının üretilmesi Tetkik kriterlerine uyum tetkik edilen yerler, fonksiyonlar ve prosesler belirtilerek özetlenmelidir. Tetkik planında varsa münferit uyum tetkik bulguları ile bunları destekleyen deliller kaydedilmelidir. Uyumsuzluklar ile bunları destekleyen deliller kaydedilmelidir. Uyumsuzluklar derecelendirilebilir. Bunlar tetkik edilenle beraber gözden geçirilerek tetkik delilinin doğruluğu teyit edilmeli ve uyumsuzlukların anlaşılması sağlanmalıdır. Tetkik delilleri ve/veya bulguları üzerindeki görüş ayrılıklarını gidermek İçin gereken gayret gösterilmeli ve çözümlenemeyen hususlar kaydedilmelidir.

52 14 Uygunsuzluk ve Boyutları Tetkikte tespit edilen uyumsuzluklar boyutları ile ilgili olarak derecelendirilebilir. Genel olarak aşağıdaki derecelendirmeler kullanılmaktadır. Majör-büyük Minör-küçük Gözlem- uygunsuzluk değildir.

53 14 Uygunsuzluk ve Boyutları Büyük (Majör uygusuzluk): 1) Yönetim sistemi standardının bir veya daha fazla şartının yerine getirilememesi. 2) Organizasyonun yönetim sisteminin amaçladığı sonuçları gerçekleştirme kabiliyeti hakkında önemli bir şüphe durumu. Personel, Dokümantasyon, Altyapı, Kaynaklar, Güncellemeler, Aynı küçük ihlallerin genele yayılması, Yasal ihlaller.

54 14 Uygunsuzluk ve Boyutları Küçük (Minör uygunsuzluk): Yönetim sistemi uygulanmasından kaynaklanan kısmi sapmalar, eksik/yanlış uygulamalar. Personel, Dokümantasyon, Altyapı, Mevzuat, Kayıtlar, Kaynak.

55 14 Uygunsuzluk ve Boyutları Gözlem: Minör uygunsuzluk tanımlanacak şekilde açık olmayan veya ilgili standarda refere edilemeyen, ilerde minör uygunsuzluk olabilme riski taşıyan faaliyetler.

56 15 Tetkik Sonuçlarının Hazırlanması Kapanış toplantısından önce aşağıdaki konuları görüşmek üzere tetkik ekibi bir araya gelir: a) Tetkik bulgularının ve tetkik esnasında toplanan diğer bilgilerin tetkik kriterlerine göre gözden geçirilmesi, b) Tetkik prosesindeki belirsizliği dikkate alarak tetkik sonuçları hakkında anlaşmaya varılması, c) Tetkik hedeflerinde belirtilmiş ise tavsiyelerin hazırlanması, d) Tetkik planında belirtilmiş ise tetkik takibinin görüşülmesi.

57 15 Tetkik Sonuçlarının Hazırlanması Tetkik Ekibi Toplantısı Baştetkikçi yönetir, Kapanış toplantısından önce yapılır, Sadece tetkik ekibi katılır, Tetkikle ilgili kararı vermek için yapılır, Tüm tetkikçiler sırası ile bulgularını sunar ve kararını söyler, Baş tetkikçi nihai kararı verir. Önemli!!! Majör uygunsuzluk olması durumunda belgelendirme veya belgenin devamına karar verilmez. Minör uygunsuzluk olması durumunda açılan düzeltici faaliyet ile belgelendirme veya belgenin devamına karar verilebilir.

58 15 Tetkik Sonuçlarının Hazırlanması Tetkik esnasında toplanan bilgiler gözden geçirilir, Tetkik bulguları sınıflandırılır, (majör-minör- tavsiye) Tetkik hedeflerinde belirtilmiş ise tavsiyeler hazırlanır, Tetkik sonucuna karar verilir, (belgelendirme-takip) Tetkik takibi değerlendirilir.

59 16 Tetkik Raporunun Hazırlanması Prensipler Objektif delillere dayalı, Tarafsız, Gizliliğe riayet eden, Hedef göstermeyen, Sade ve anlaşılır, Katma değer sağlayan.

60 16 Tetkik Raporunun Hazırlanması Tetkik Bulgularının Derlenmesi Uygunsuzluk ayrımı (majör-minör), Uygunsuzlukları gruplanması (4.2.1, v.b), Gözlemler, Zayıf noktalar, Güçlü noktalar, Varsa karşılaşılan zorluklar, Öneriler, Tetkik ekibi kararı.

61 16 Tetkik Raporunun Hazırlanması Tetkik raporu tetkikin tam, doğru, kısa ve açık bir kaydını sunmalı, aşağıdaki hususları kapsamalı veya bunlara atıf yapmalıdır: a) Tetkik hedefleri, b) Tetkik kapsamı; özellikle, tetkik edilen organizasyon ve fonksiyonel birimin, proseslerin ve zaman diliminin belirtilmesi, c) Tetkik müşterisinin kimliği, d) Tetkik ekibi başkanının ve üyelerinin kimlikleri, e) Saha tetkik faaliyetlerinin yapıldığı tarihler ve yerler, f) Tetkik kriterleri, g) Tetkik bulguları, h) Tetkik sonuçları. i) Tetkik planı,

62 16 Tetkik Raporunun Hazırlanması j) Tetkik edilenin temsilcilerinin listesi, k) Tetkik prosesinin özeti; tetkik sonuçlarının güvenilirliğini azaltması söz konusu olan belirsizlikler ve/veya zorluklar dahil, l) Tetkik planına göre tetkik kapsamı içinde tetkik hedeflerine ulaşıldığının teyidi, m) Tetkik kapsamı içinde olduğu halde kapsanamayan alanlar, n) Tetkik ekibi ile tetkik edilen arasında çözümlenemeyen görüş ayrılıkları, o) Tetkik hedeflerinde belirtilmiş ise, iyileştirme tavsiyeleri, p) Varsa üzerinde anlaşma sağlanan takip işlemleri, q) İçeriğin gizliliğine dair bir beyan, r) Tetkik raporunun dağıtım listesi.

63 16 Tetkik Raporunun Hazırlanması Baş tetkikçi sorumludur, Tetkikin tüm süreçlerinin bir özetini sunar, Karşılıklı mutabık kalınır, İçeriği ISO e uygun olarak hazırlanır, Numune alma yöntemini tanımlar. Önemli!!! Planlanan ama tetkik edilemeyen süreçler, Planlanan ama tetkik edilen süreçler, Varsa karşılaşılan zorluklar.

64 17 Kapanış Toplantısının Yapılması Tetkik ekibi başkanının başkanlığında bir kapanış toplantısı yapılmalı, bu toplantıda tetkik bulguları ve tetkik sonuçları tetkik edilen tarafından anlaşılacak ve kabul edilecek şekilde takdim edilmelidir. Tetkik edilen tarafından sunulacak düzeltici ve önleyici faaliyet programı varsa bu toplantıda üzerinde anlaşma sağlanmalıdır. Gerekirse tetkik ekibi başkanı tetkik esnasında karşılaşılan durumlar hakkında tetkik edilene bilgi vermeli, böylece tetkik sonuçları üzerindeki güveni arttırmalıdır. Bir çok durumda, örneğin küçük kuruluşların iç tetkiklerinde, kapanış toplantısı sadece tetkik bulgularının ve tetkik sonuçlarının bildirilmesinden ibaret olabilir.

65 17 Kapanış Toplantısının Yapılması Diğer tetkiklerde ise bu toplantı resmi olmalı, toplantı tutanaklarıyla katılanların kayıtları muhafaza edilmelidir. Tetkik bulguları ve/veya sonuçları üzerindeki görüş ayrılıkları tartışılmalı ve mümkünse giderilmelidir. Çözümlenemeyen hususlar kalırsa bunlarla ilgili görüşler kaydedilmelidir. Tetkik hedeflerinde belirtilmiş ise iyileştirmeye yönelik tavsiyeler sunulmalıdır. Tavsiyelerin bağlayıcı olmadığı vurgulanmalıdır.

66 17 Kapanış Toplantısının Yapılması Baş tetkikçi yapar, Tetkik ekibi ve tetkik edilenin üst yönetimi katılır, Tetkik ekibinin kararı katılımcılara aktarılır. Önemli!!! Uygunsuzluklar itiraza mahal vermeyecek formatta sunulmalı, Toplantıda tartışa ortamı oluşturulmamalı, Düzeltme faaliyetlerinde mutabık olunmalı, Bir sonraki tetkik tarihi konusunda mutabakata varılmalı, Katılımcılara soru sorma fırsatı verilmeli.

67 18 Tetkik Raporunun Onaylanması Tetkik raporları gözden geçirilir. (Tetkik ekibi ve organizasyon) Raporda düzletmede ihtiyacı varsa düzeltme yapılır. Tetkik ekibi ve organizasyon raporları onaylar.

68 19 Tetkik Raporunun Dağıtılması Tetkik raporu tetkik bitiminde organizasyona sunulur, Bu mümkün olmazsa gecikmenin sebebi tetkik edilen organizasyona bildirilmeli ve yeni bir sunum tarihi üzerinde anlaşma sağlanmalıdır. Onaylanan tetkik raporu bundan sonra tetkik organizasyonunun belirlediği alıcılara dağıtılır.

69 20 Tetkikin Tamamlanması Tetkik planında belirtilen bütün faaliyetler yapıldığı ve onaylanan tetkik raporu dağıtıldığı zaman tetkik tamamlanmış olur. Tetkikle ilgili dokümanlar tetkike katılan tarafların mutabakatı ile tetkik programı prosedürlerine ve yasalar, yönetmelikler ve sözleşmelerde belirtilen şartlara uygun olarak muhafaza edilmeli veya imha edilmelidir.

70 20 Tetkikin Tamamlanması Kanunlar tarafından aksi şart koşulmadıkça, tetkik ekibi ve kendilerine tetkik programını yönetme sorumluluğu verilenler dokümanların içeriklerini, tetkik esnasında elde edilen diğer bilgileri ve tetkik raporunu tetkik müşterisinin ve gereken hallerde tetkik edilenin açık onayı olmadan başka kişi veya kuruluşlara açıklamamalıdır. Eğer bir tetkik dokümanının içeriğinin açıklanması gerekirse en kısa zamanda tetkik müşterisine ve tetkik edilene haber verilmelidir.

71 21 Tetkikin Kayıtlarının Saklanması Müşteri açısından: Tetkik kayıtları müşteri mülkiyetindedir, saklama sorumluluğu organizasyona aittir. Belgelendirme kuruluşu açısından: Belgelendirme kuruluşu için tetkik kayıtları müşteri mülkiyetidir, 19011, standardına uygun şekilde saklanmalıdır. Müşteri bilgi ve belgesi müşteri onayı alınmadan bir başka kişi ve kuruluşa verilmemelidir.

72 22 Tetkik Takibinin Yapılması Tetkik sonuçları düzeltici, önleyici veya iyileştirici faaliyetlerin yapılması gerektiğini gösterebilir. Bu faaliyetlere genellikle tetkik edilen tarafından karar verilir ve üzerinde anlaşma sağlanan bir zaman dilimi içinde yapılır. Bu faaliyetler tetkikin bir parçası değildir. Tetkik edilen bu faaliyetlerin durumundan tetkik müşterisini haberdar etmelidir. Düzeltici faaliyetin tamamlanma durumu ve etkinliği doğrulanmalıdır. Bu doğrulama daha sonraki tetkikin bir parçası olabilir.

73 22 Tetkik Takibinin Yapılması Tetkik programında tetkik ekibi üyelerince yapılacak takip faaliyetleri belirtilebilir. Böylece uzmanlık kullanımıyla değer artışı sağlanır. Böyle hallerde daha sonraki tetkik faaliyetleri için bağımsızlığın korunmasına dikkat edilmelidir. Tetkik Takibi; Sahada, (takip tetkiki veya bir sonraki gözetim tetkiki) Dokümante beyanla Yapılabilir. -Takip faaliyeti üzerinde anlaşma sağlanan zaman dilimi içinde yapılır. -Bu faaliyetler tetkikin bir parçası değildir. Önemli!!! *Belgelendirme tetkiklerinde en fazla altı ay, *Gözetim tetkiklerinde en fazla üç ay süre verilmeli.