Những điều nên biết về hiệu chuẩn ISO9001: Giải thích các yêu cầu và điểm đánh giá.

Hiệu chuẩn trong ISO 9001 là việc quan trọng để đảm bảo cung cấp sản phẩm chất lượng nhất quán cho khách hàng và cần được thực hiện định kỳ. Chứng nhận hiệu chuẩn và hồ sơ hiệu chuẩn, những tài liệu làm bằng chứng cho việc hiệu chuẩn, cũng có thể được khách hàng yêu cầu, vì vậy hãy lưu giữ cẩn thận.

1. Hiệu chỉnh thiết bị theo ISO9001 là gì?

Hiệu chỉnh thiết bị theo ISO9001 là việc chỉnh sửa sao cho thiết bị đo lường cho ra kết quả chính xác.
Đây là quá trình quan trọng để đảm bảo chất lượng của thiết bị, đảm bảo được thiết bị thực hiện đo lường một cách chính xác.

Cụ thể là xác nhận xem thiết bị có hoạt động đúng phạm vi đã chỉ định không, nếu cần sẽ thực hiện điều chỉnh.
Điều này sẽ bao gồm: test để xác nhận tính năng của thiết bị, và nghiệp vụ điều chỉnh thiết định sao cho thiết bị cho ra kết quả chính xác.

Ngoài ra, việc hiệu chỉnh nên được thực hiện có kì hạn, phương thức và tần số thì sẽ phụ thuộc vào chủng loại hoặc tình trạng sử dụng của thiết bị.
Kết quả hiệu cchinhr sẽ được ghi lại, để có thể theo dõi được tính năng của thiết bị thay đổi thế nào theo thời gian.

2. Lý do phải thực hiện hiệu chỉnh.

Vậy, tại sao cần phải thực hiện hiệu chỉnh?
Lý do cần phải hiệu chỉnh là: Do có khả năng tính năng của thiết bị sẽ thay đổi theo thời gian hoặc do quá trình sử dụng.

Hơn nữa, dựa vào việc hiệu chỉnh định kì có thể xác nhận được xem thiết bị có đang thực hiện đo lường chính xác hay không.

3. Nên thực hiện thời hạn hiệu chỉnh (chu kì hiệu chỉnh) như thế nào?

Về thời hạn hiệu chỉnh (chu kì hiệu chỉnh), là “khoảng cách đã định” đã được quy định trong tiêu chuẩn, cụ thể thì không có quy định thời hạn hiệu chỉnh (chu kì hiệu chỉnh) phải hiệu chỉnh.

Thời hạn hiệu chỉnh (chu kì hiệu chỉnh) sẽ khác nhau dựa vào chủng loại, tần suất sử dụng và môi trường sử dụng… của thiết bị, tuy nhiên 1 năm 1 lần là thời hạn được khuyến khích. Tất nhiên là cũng có cả thời hạn hiệu chỉnh (chu kì hiệu chỉnh) chỉ định của nhà sản xuất.
Tuy nhiên, nếu như sử dụng sản phẩm có tần suất sử dụng cao, hay có tiêu chuẩn cao về độ chính xác, thì cũng có trường hợp rút ngắn thời hạn hiệu chỉnh (chu kì hiệu chỉnh) để đảm bảo an toàn và chất lượng.

Cần cân nhắc tần suất, môi trường sử dụng, công số hoặc nhân sự, giá thành… kết hợp với quản lý chất lượng sản phẩm, điều quan trọng là phải quyết định được thời hạn hiệu chỉnh (chu kì hiệu chỉnh) mà không gây ra vấn đề.

4. Phương pháp quản lý thiết bị hiệu chỉnh

Việc đầu tiên của phương pháp quản lý thiết bị hiệu chỉnh, là đánh số phân biệt cho tất cả các thiết bị, để có thể theo dõi tình trạng hiểu chỉnh của từng thiết bị.

Ngoài ra, phải ghi lại kết quả hiệu chỉnh để dùng cho việc lập kế hoạch vào thời điểm cần hiệu chỉnh.
Hơn nữa, phải quản lý thiết bị bằng cách thức thích hợp để không phải sử dụng thiết bị trong khi đang hiệu chỉnh.
Về cách thức, thì có cách như: làm dấu thiết bị cần hiệu chỉnh bằng nhãn dán, hoặc tách riêng ra theo phương pháp vật lý.

5. Khái niệm và yêu cầu về hiệu chỉnh trong ISO9001.

Ở đây, một lần nữa chúng ta sẽ xem nội dung có viết trong ISO9001.

7.1.5 Các nguồn lực theo dõi và đo lường
⑴7.1.5.1 Khái quát
Tổ chức phải xác định và cung cấp các nguồn lực cần thiết để đảm bảo các kết quả xác thực và đáng tin cậy khi sử dụng hoạt động theo dõi hoặc đo lường để xác nhận sự phù hợp của các sản phẩm và dịch vụ đối với các yêu cầu.
Tổ chức phải đảm bảo rằng các nguồn lực được cung cấp:

a) phù hợp với các loại hình cụ thể của các hoạt động giám sát và đo lường đang được thực hiện;
b) được duy trì để đảm bảo chúng liên tục phù hợp với mục đích của tổ chức. Tổ chức phải lưu giữ lại các thông tin dạng văn bản thích hợp như là bằng chứng của sự phù hợp với mục đích của các nguồn lực theo dõi và đo lường.

⑵7.1.5.2 Liên kết chuẩn đo lường
Khi liên kết chuẩn đo lường là một yêu cầu, hoặc khi tổ chức xem xét rằng đây là một phần thiết yếu của việc cung cấp sự tin cậy về tính xác thực của các kết quả đo, thì thiết bị đo phải:

a) được hiệu chuẩn hoặc kiểm tra xác nhận, hoặc cả hai, định kỳ, hoặc trước khi sử dụng, dựa trên tiêu chuẩn đo lường được liên kết với các tiêu chuẩn đo lường quốc gia hay quốc tế; khi không có các chuẩn này, thì căn cứ được sử dụng để hiệu chuẩn hoặc kiểm tra xác nhận phải được lưu giữ thông tin dạng văn bản;
b) được nhận biết để xác định tình trạng;
c) giữ gìn tránh bị điều chỉnh, hư hỏng hoặc xuống cấp có thể làm mất hiệu lực các tình trạng hiệu chuẩn và các kết quả tiếp đo lường sau đó.
Tổ chức phải xác định tính xác thực của các kết quả đo lường trước đó có bị ảnh hưởng xấu khicó thiết bị đo lường được xác định là không thích hợp với mục đích dự kiến, và phải có hành động thích hợp khi cần thiết.

Trích: ISO 9001:2015

Như đã đọc ở trên, yêu cầu tiêu chuẩn khá dài và khó.

Tại mục 7.1.5 của ISO9001, có nêu phương pháp theo dõi và đo lường cần thiết cho việc đảm bảo chất lượng sản phẩm và dịch vụ công ty.

Điều này bao gồm: hiệu chỉnh, quản lý và lựa chọn thiết bị đo lường thiết bị thích hợp. Ngoài ra, những nguồn lực này cần xác minh xem có phù hợp với mục đích sử dụng không, nếu cần thiết thì cần hiệu chỉnh tương ứng và thực hiện thẩm tra.

Quá trình này sẽ giúp tổ chức duy trì chất lượng của sản phẩm hoặc dịch vụ, rất quan trọng để đáp ứng yêu cầu của KH.
Ngoài ra, tại mục 7.1.5 của ISO9001, có dùng từ “nguồn lực”, tuy nhiên “nguồn lực” này không chỉ là những đồ vật mang tính chất vật lý như thiết bị hay máy móc, điều kiện môi trường (như nhiệt độ, độ ẩm…) để những thiết bị hay máy móc trên có thể hoạt động chính xác cũng là đối tượng quản lý.

Để có thể quản lý thích hợp tất cả những máy móc, thiết bị và điều kiện môi trường này, thì cần bảo đảm hiệu chỉnh định kì.

6. Những điểm có thể thấy và những điểm chú ý trong xét duyệt ISO9001.

Khi xét duyệt ISO9001, có 4 điểm quan trọng dưới đây cần chú ý.

(1) Quản lý thiết bị hiệu chỉnh phù hợp

Thiết bị hiệu chỉnh phải được hiệu chỉnh theo định kì, và yêu cầu phải ghi lại kết quả đó.
Ngoài ra, phải phân biệt làm rõ thiết bị cần hiệu chỉnh, quan trọng là cần phải quản lý sao cho dễ dàng nhận biết được tình trạng hiệu chỉnh.

(2) Sử dụng thiết bị hiệu chỉnh phù hợp

Thiết bị hiệu chỉnh pahir được sử dụng phù hợp với hiểu biết về giới hạn cũng như tính năng của nó.
Ngoài ra, cần kiểm tra cả tình trạng bảo quản sau khi sử dụng.

(3) Tình trạng của thiết bị hiệu chỉnh và theo dõi kết quả

Nếu có sự không phù hợp khi hiệu chỉnh thiết bị, thì cần thực hiện xác nhận và xử lý thích hợp với sản phẩm hoặc dịch vụ chịu ảnh hưởng của sự không phù hợp đó.

(4) Ghi lại hiệu chỉnh của thiết bị hiệu chỉnh

Cần bảo quản ghi chép về thông tin của tổ chức, cá nhân đã thực hiện hiệu chỉnh và kết quả hiệu chỉnh của thiết bị hiệu chỉnh, khi cần thì có thể xác nhận được.

Để đáp ứng được các điểm trên, thì cần điều chỉnh quy chế quản lý của thiết bị hiệu chỉnh, ghi lại hiệu chỉnh định kì, đảm bảo sử dụng thích hợp và cần thực hiện triệt để những xử lý khi có sự không phù hợp.

Ngoài ra, tại mục 7.1.5 của ISO9001, có dùng từ “nguồn lực”, tuy nhiên “nguồn lực” này không chỉ là những đồ vật mang tính chất vật lý như thiết bị hay máy móc, điều kiện môi trường (như nhiệt độ, độ ẩm…) để những thiết bị hay máy móc trên có thể hoạt động chính xác cũng là đối tượng quản lý.
Để có thể quản lý thích hợp tất cả những máy móc, thiết bị và điều kiện môi trường này, thì cần bảo đảm hiệu chỉnh định kì.

7. Giấy chứng nhận hiệu chỉnh cần cho xét duyệt là gì?

Giấy chứng nhận hiệu chỉnh cho hiệu chỉnh ISO9001 nghĩa là văn bản cho thấy là thiết bị đang hoạt động chính xác.
Giấy chứng nhận này sẽ do cơ quan hiệu chỉnh có chuyên môn thực hiện test, và là giấy ghi lại kết quả đó. Giấy này sẽ chứng minh thiết bị căn cứ theo tiêu chuẩn quy định.

Bằng cách xuất trình giấy chứng nhận này trong khi xét duyệt, có thể chứng minh được độ chính xác và tính đáng tin cậy của thiết bị.

8. Ví dụ về các điểm được chỉ ra trong xét duyệt hiệu chỉnh

Về các ví dụ trong xét duyệt liên quan đến hiệu chỉnh trong ISO9001 thì có những ví dụ như sau:

(1) Quản lý thiết bị hiệu chỉnh không đầy đủ

Ví dụ, có trường hợp dù đã quá thời hạn hiệu chỉnh cho thiết bị hiệu chỉnh, nhưng vẫn tiếp tục sử dụng hoặc có trường hợp thiếu ghi chép quản lý cho thiết bị hiệu chỉnh.
Vì những điều này vi phạm yêu cầu của ISO9001, nên có thể sẽ bị chỉ ra trong quá trình xét duyệt.

(2) Sai sót của giấy chứng nhận hiệu chỉnh

Giấy chứng nhận hiệu chỉnh là tài liệu quan trọng để chứng minh việc thiết bị hiệu chỉnh có đúng hay không.
Tuy nhiên, trường hợp không phát hành giấy chứng nhận, hoặc nội dung của giấy có sai sót, thì cũng có thể bị chỉ ra trong quá trình xét duyệt.

(3) Thực hiện không đúng quá trình hiệu chỉnh

Hiệu chỉnh cần được thực hiện chính xác theo manual chỉ định.
Tuy nhiên, có trường hợp thực hiện manual không phù hợp, hoặc manual không phù hợp, thì cũng sẽ bị chỉ ra trong quá trình xét duyệt.

9. Sử dụng dụng cụ đo lường một lần

Dụng cụ đo lường một lần sẽ được vất bỏ sau một lần sử dụng, nên không cần thiết cho thủ tục hiệu chỉnh thông thường. Tuy nhiên, cần lưu ý những điều sau:

(1) Lựa chọn và sử dụng phù hợp

Khi lựa chọn dụng cụ đo lường một lần, hãy xác nhận để đảm bảo được độ tin cậy và độ chính xác.
Ngoài ra, việc sử dụng đúng theo cách sử dụng cũng rất quan trọng.

(2) Đánh giá tính cần thiết của hiệu chỉnh

Thông thường, dụng cụ đo lường một lần sẽ không cần thiết cho hiệu chỉnh, nhưng tùy theo tình trạng hoặc dự án đặc biệt, sẽ có trường hợp nó cần thiết đối với hiệu chỉnh.
Ví dụ như, có trường hợp hiệu chỉnh theo yêu cầu pháp lý hoặc theo yêu cầu của KH.

(3) Quản lý ghi chép

Việc quản lý ghi chép phù hợp đối với thông tin hoặc tình trạng sử dụng của dụng cụ đo lường một lần là rất quan trọng.
Từ đó, chúng ta có thể thực hiện theo dõi hoặc điều tra trong trường hợp cần thiết.

(4) Quản lý như một phần của hệ thống quản lý chất lượng

Nên quản lý dụng cụ đo lường một lần như một phần của hệ thống quản lý chất lượng một cách phù hợp.
Việc quản lý này sẽ bao gồm: Lựa chọn, sử dụng, vất bỏ và quản lý ghi chép phù hợp.
Cần phải lưu ý những điều trên để sử dụng dụng cụ đo lường một lần phù hợp và đáp ứng yêu cầu quản lý chất lượng.

10. Những thứ cần thiết cho hiệu chỉnh trong công ty

(1) Dụng cụ tiêu chuẩn

Khi thực hiện hiệu chỉnh trong công ty, sẽ cần có những dụng cụ tiêu chuẩn như sau:

  1. Nhiệt kế: Là dụng cụ để đo nhiệt độ. Sử dụng cho hiệu chỉnh thiết bị cần điều chỉnh nhiệt độ.
  2. Đồng hồ đo áp suất: Là dụng cụ để đo áp suất. Dùng cho hiệu chỉnh thiết bị cần điều chỉnh áp suất.
  3. Cân điện tử: Là dụng cụ đo trọng lượng. Dùng cho hiệu chỉnh thiết bị cần điều chỉnh trọng lượng.
  4. Vôn kế: Là dụng cụ đo điện áp. Dùng cho hiệu chỉnh thiết bị cần điều chỉnh điện áp.
  5. Ampe kế: Là dụng cụ đo dòng điện. Dùng cho hiệu chỉnh thiết bị cần điều chỉnh dòng điện.

Những dụng cụ tiêu chuẩn ở trên được chọn lựa theo từng phạm vi đo lường hoặc theo mỗi độ chính xác khác nhau.
Ngoài ra, chính những dụng cụ tiêu chuẩn này cũng cần được hiệu chỉnh định kì.

(2) Môi trường hiệu chỉnh phù hợp

Khi thực hiện hiệu chỉnh trong công ty, cần bao gồm những yếu tố về môi trường hiệu chỉnh phù hợp như sau:

  1. Nhiệt độ và độ ẩm: Thông thường thì hiệu chỉnh sẽ được thực hiện ở mức nhiệt độ và độ ẩm ổn định.
    Việc có thay đổi về nhiệt độ và độ ẩm có thể là nguyên nhân ảnh hưởng đến kết quả đo lường. Vì vậy,
    nhiệt độ và độ ẩm của môi trường hiệu chỉnh cần phải được kiểm soát.
  2. Sự chấn động và tiếng ồn: Sự chấn động và tiếng ồn cũng có thể là nguyeen nhân ảnh hưởng đến kết quả đo lường. Vì vậy, môi trường hiệu chỉnh cần hạn chế sự chấn động và tiếng ồn ở mức thấp nhất.
  3. Sự chiếu sáng: Sự chiếu sáng phù hợp là rất quan trọng để đọc kết quả đo lường chính xác. Vì vậy, môi trường hiệu chỉnh cần đảm bảo được sự chiếu sáng phù hợp.
  4. Sự sạch sẽ: Môi trường hiệu chỉnh phải sạch sẽ, không có rác hay bụi bẩn cũng rất quan trọng. Vì rác hay bụi bẩn ở đây cũng có thể là nguyên nhân ảnh hưởng đến kết quả đo lường.
  5. Máy móc hiệu chỉnh: Khi hiệu chỉnh thì cần có máy móc hiệu chỉnh. Vì cần so sánh với tiêu chuẩn để xác nhận độ chính xác của dụng cụ đo lường. Máy móc hiệu chỉnh sẽ cần được hiệu chỉnh định kì để đảm bảo độ chính xác của nó.

Với việc chuẩn bị đầy đủ môi trường như đã viết ở trên, thì có thể thu được kết quả chính xác với độ tin cậy cao khi hiệu chỉnh trong công ty.

(3) Quy trình hiệu chỉnh

Quy trình hiệu chỉnh trong công ty co các bước như sau:

  1. Tạo kết hoạch hiệu chỉnh: Tạo danh sách máy móc hiệu chỉnh, quyết định phương pháp hoặc chu kì hiệu chỉnh máy móc đối với từng loại.
  2. Chuẩn bị môi trường hiệu chỉnh: Sắp xếp đầy đủ môi trường phù hợp cho việc thực hiện hiệu chỉnh.
    Điều này sẽ bao gồm: kieemr soát điều kiện môi trường như nhiệt độ hay độ ẩm.
  3. Thực hiện việc hiệu chỉnh: Dùng dụng cụ tiêu chuẩn để xác nhận độ chính xác của máy móc, điều chỉnh nếu cần thiết.
  4. Ghi chép kết quả hiệu chỉnh: Ghi chép kết quả hiệu chỉnh, rồi lưu trữ chúng lại. Việc này bao gồm các thông tin: giá trị trước và sau khi hiệu chỉnh hoặc việc điều chỉnh có được thực hiện hay không.
  5. Dán nhãn hiệu chỉnh: Dán nhãn hiệu chỉnh cho máy móc đã hiệu chỉnh, ghi ngày tháng cho lần hiệu chỉnh tiếp theo.
  6. Phân tích và cải tiến kết quả hiệu chỉnh: Phân tích kết quả hiệu chỉnh, nếu cần thì xem xét lại phương pháp hiệu chỉnh hoặc chu kì hiệu chỉnh.

Bằng cách tiến hành theo trình tự ở trên, có thể duy trì được độ chính xác của máy móc để thực hiện quản lý chất lượng.

11. Có thể hiệu chỉnh bên ngoài (nhà cung cấp) thay cho hiệu chỉnh của nhà sản xuất không?

Trường hợp hiệu chỉnh bên ngoài (nhà cung cấp), nếu nói từ kết luận trở đi thì không có vấn đề gì.
Theo như quy định trong ISO9001, thiết bị hiệu chỉnh không chỉ là hiệu chỉnh của nhà sản xuất, mà hiệu chỉnh của nhà cung cấp ủy quyền bên ngoài cũng được công nhận.

Tuy nhiên, trường hợp yêu cầu nhà cung cấp bên ngoài hiệu chỉnh thì cần phải xác nhận: việc nhà cung cấp đó có đáng tin hay không, và việc nhà cung cấp đó có tiến hành theo quy trình hiệu chuẩn phù hợp hay không.

Ngoài ra, cũng phải có giấy chứng nhận hiệu chỉnh thể hiện kết quả hiệu chỉnh.

 

Tổng kết
Không có yêu cầu rõ ràng về chu kì hiệu chỉnh.
Mà là: “Sự đo lường truy xuất theo tiêu chuẩn đo lương quốc tế, hay tiêu chuẩn đo lường quốc gia là hiệu chỉnh hoặc thẩm tra, hoặc thực hiện cả hai việc đó theo tiêu chuẩn.” “Đối với trường hợp tiêu chuẩn như trên không tồn tại, cần lưu lại ghi chéo khi hiệu chỉnh hoặc thẩm tra.”
Nói đơn giản, thì đó là hiệu chỉnh hoặc thẩm tra máy móc đo lường, hoặc thực hiện cả hai việc đó, tuy nhiên nó không đề cập đến chu kì.
Vì vậy, tuy có viết là: “Đối với trường hợp tiêu chuẩn như trên không tồn tại, cần lưu lại ghi chéo khi hiệu chỉnh hoặc thẩm tra.”, nhưng sẽ cảm thấy là: không làm rõ chu kì hiệu chỉnh cũng được?
Liên quan đến chu kì hiệu chỉnh, sau yêu cầu quy định của ISO, thì cần xem yêu cầu của KH để quyết định.

Giải thích tiêu chuẩn: Điều 7.1.6 “Tri thức của tổ chức” trong ISO9001:2015.

Chủ đề hôm nay là: “Giải thích tiêu chuẩn ISO9001:2015, mục 7.1.6 Tri thức của tổ chức”.
Trong bản tiêu chuẩn sửa đổi lần này, phần này là 1 hạng mục được thêm mới, mục đích là để kế thừa kỹ thuật đặc trưng của tổ chức đó.

Trong bài viết “Giải thích tiêu chuẩn ISO9001:2015, mục 7.1.6 Tri thức của tổ chức” trong bản tiêu chuẩn sửa đổi lần này là 1 hạng mục được thêm mới, mục đích là để kế thừa kỹ thuật đặc trưng của tổ chức đó.

Vâng, bạn đã bao giờ đọc chủ đề này và đoạn sau nó, bạn có cảm thấy chán nản không? Tôi sẽ viết nó ngay bây giờ, nhưng tôi cảm thấy tinh thần hơi đi xuống. Tuy nhiên, đây là điều cần phải làm! Bởi vì đây là công việc mà… Không, không, miễn là có những người đọc blog này! Tôi sẽ cố gắng hết sức để giúp bạn hiểu về ISO dù chỉ là chút ít !!
Hãy cố gắng để tham gia cùng chúng tôi một lát nhé. (Thật ra thì nó không khó đến thế đâu!!)

Trước tiên, chúng ta hãy xem phần được viết trong hạng mục yêu cầu được viết trong bản 2015.

Hạng mục yêu cầu trong bản năm 2015

7.1.6 Tri thức của tổ chức

Tổ chức phải xác định tri thức cần thiết cho việc vận hành các quá trình của tổ chức và để đạt được sự phù hợp của các sản phẩm và dịch vụ.
Tri thức này phải được duy trì và phải sẵn có tùy mức độ cần thiết.
Khi giải quyết các nhu cầu và xu hướng thay đổi, tổ chức phải xem xét tri thức hiện tại của tổ chức và xác định làm thế nào để có được hoặc tiếp cận bất kỳ kiến thức bổ sung và cập nhật tri thức cần thiết.
CHÚ THÍCH 1: Tri thức của tổ chức là kiến thức đặc trưng đối với tổ chức; được thu thập từ kinh nghiệm. Nó là thông tin được sử dụng và chia sẻ để đạt được các mục tiêu của tổ chức.
CHÚ THÍCH 2: Tri thức của tổ chức có thể dựa trên:

a) nguồn nội bộ (ví dụ như sở hữu trí tuệ, kiến thức thu được từ kinh nghiệm; bài học kinh nghiệm từ các dự án thất bại và thành công; nắm bắt và chia sẻ kinh nghiệm và kiến thức không được lập văn bản; các kết quả của những cải tiến trong các quá trình,
sản phẩm và dịch vụ);
b) Các nguồn bên ngoài (ví dụ như các tiêu chuẩn; học viện; hội nghị; thu thập kiến thức từ khách hàng hoặc các nhà cung cấp bên ngoài).
Phải xác định rủi ro và cơ hội cần giải quyết cho hạng mục.

Đây là một nội dung mới, nhưng chúng ta hãy xem những gì được cho là có một phần khá giống với nó của phiên bản 2008.

6.2 Nguồn nhân lực

6.2.1 Khái quát

Những người thực hiện các công việc ảnh hưởng đến sự phù hợp với các yêu cầu của sản phẩm phải có năng lực trên cơ sở được giáo dục, đào tạo, có kỹ năng và kinh nghiệm thích hợp.

Các bạn thấy sao? Cá nhân tôi nghĩ rằng có thể hiểu được những mô tả trong tiêu chuẩn mới…

Nhưng tôi có thắc mắc rằng “tri thức” là gì? Nó chỉ ra thứ gì? Vì nó không được chỉ định rõ ràng, nên chính là điểm gây khó khăn cho ISO.

 

Đọc hiểu tiêu chuẩn

Chúng ta hãy xác nhận tiêu chuẩn lại một lần nữa.

Nó được mô tả là: “Tri thức cần thiết cho việc vận hành các quá trình của tổ chức và để đạt được sự phù hợp của các sản phẩm và dịch vụ”. Có những ví dụ về điều này trong tiêu chuẩn. Hơn nữa, nó được chia thành nội bộ và bên ngoài. (Thật rõ ràng có phải không?)

“a) nguồn nội bộ (ví dụ như sở hữu trí tuệ, kiến thức thu được từ kinh nghiệm; bài học kinh nghiệm từ các dự án thất bại và thành công; nắm bắt và chia sẻ kinh nghiệm và kiến thức không được lập văn bản; các kết quả của những cải tiến trong các quá trình, sản phẩm và dịch vụ)”;

“b) Các nguồn bên ngoài (ví dụ như các tiêu chuẩn; học viện; hội nghị; thu thập kiến thức từ khách hàng hoặc các nhà cung cấp bên ngoài)”

Bạn có thể lấy một đoạn trích từ tiêu chuẩn và đọc lại nó không? Bạn không liên tưởng đến điều gì đó được coi là đương nhiên, được công nhận trong công ty của bạn sao?

Tại đây, chẳng phải điều cần phải chú ý là “tri thức và kinh nghiệm không có ở dạng văn bản” sao?
Nói cách khác, điều này có lẽ ám chỉ những “kỹ năng” và “mẹo” của người có thâm niên không được ghi chép lại. Trong thế giới thủ công truyền thống và thế giới ẩm thực,
chúng ta thường nghe câu “Kỹ năng có thể học được bằng cách quan sát!”, nhưng có vẻ như chúng ta cần phải làm rõ mình học được điều gì. Đây là một điểm thường được nêu ra liên quan đến vấn đề kế nhiệm và đào tạo người kế nhiệm.

Khi tiếp tục hoạt động kinh doanh, điều quan trọng là việc xây dựng một hệ thống để truyền lại và tiếp thu “tri thức”, để tránh việc: mất đi “tri thức” cần thiết và không thể duy trì chất lượng phù hợp.
Và, phải yêu cầu quản lý tri thức này. Loại kiến thức này được truyền lại trong tổ chức của bạn như thế nào? Hãy suy nghĩ lại và cố gắng làm rõ nó.

 

Tổng kết

Hầu hết các vấn đề khác nhau mà tiêu chuẩn ISO yêu cầu đều được thực hiện một cách vô thức trong khi điều hành và quản lý các tổ chức như công ty. Mặc dù nhiều tài liệu tiêu chuẩn khó đọc và có thể khiến bạn buồn ngủ nhưng chúng tôi khuyên bạn nên đọc chúng để cải thiện tổ chức và hoạt động của mình. Những bài viết này vẫn sẽ còn tiếp tục được đăng tải, vì vậy hãy tiếp tục đón đọc nhé!

Ngoài ra, nếu có điều gì chưa rõ về ISO, đừng ngại mà hãy liên hệ ngay với chúng tôi nhé! Chúng tôi sẽ rất vui khi được thảo luận với các bạn!

Quy trình chuẩn của “6.3 Hoạch định sự thay đổi” trong ISO9001 là gì?

Trong ISO9001, “6.3 Hoạch định sự thay đổi” là kim chỉ nam khi tổ chức thực hiện thay đổi đối với hệ thống quản lý chất lượng (QMS). Khi tổ chức thực hiện thay đổi hệ thóng quản lý, cần quy định về các yếu tố hoặc thủ tục nên cân nhắc. Đối với sự thay đổi, tổ chức phải hiểu những điểm quan trọng của việc hoạch định sự thay đổi để hiện thực hóa việc cải tiến bền vững.

1. Yêu cầu của hoạch định sự thay đổi trong ISO9001

Hoạch định sự thay đổi” có những yêu cầu như sau:

6.3 Hoạch định sự thay đổi
Khi tổ chức xác định nhu cầu cho các thay đổi đối với hệ thống quản lý chất lượng, các thay
đổi phải được tiến hành một cách hệ thống và có kế hoạch (xem 4.4).
Tổ chức phải xem xét:
a) mục đích của sự thay đổi và các hậu quả tiềm ẩn của sự thay đổi;
b) tính toàn vẹn của hệ thống quản lý chất lượng;
c) sự sẵn có các nguồn lực;
d) việc phân bổ hoặc tái phân bổ trách nhiệm và quyền hạn.

Trích ISO 9001:2015

Nó chủ yếu đề cập đến hoạch định của hệ thống quản lý.

2. Hoạch định sự thay đổi là gì?

Hoạch định sự thay đổi là một yếu tố quan trọng trong hệ thống quản lý chất lượng ISO9001:2015.
Hoạch định sự thay đổi là quá trình hoạch định mục đích, sự ảnh hưởng và phương pháp thực hiện sự thay đổi đó khi tổ chức thực hiện thay đổi hệ thống quản lý chất lượng. Chúng ta hãy cùng xem những ví dụ cụ thể trong thực tế nhé!

1)Ví dụ chi tiết về hoạch định sự thay đổi trong thực tế

Ví dụ như, trường hợp một công ty sản xuất muốn đưa dây chuyền sản xuất mới vào sử dụng, thì hoạch định sự thay đổi cần phải bao gồm các yếu tố như sau:

a) mục đích của sự thay đổi và các hậu quả tiềm ẩn của sự thay đổi;

Giả sử, mục đích của sự thay đổi là: “nâng cao chất lượng sản phẩm” hoặc “nâng cao hiệu quả”.

Vì vậy, sẽ cần phải đưa vào dây chuyền sản xuất có thông số kỹ thuật cần thiết, hoạch định áp dụng sẽ có sự thay đổi lớn tùy vào mục tiêu chất lượng, mục tiêu nâng cao hiệu quả mà bạn hướng đến ở mức độ nào.

b) tính toàn vẹn của hệ thống quản lý chất lượng (integrity);

Hệ thống quản lý chất lượng sau khi thay đổi cần đáp ứng được yêu cầu của ISO9001, điều quan trọng là phải đảm bảo được tính toàn vẹn của hệ thống.
Để tránh tình trạng dây chuyền sản xuất sau khi đưa vào không đáp ứng yêu cầu của hệ thống quản lý hoặc yêu cầu thay đổi sau khi đưa vào, hãy đảm bảo rằng dây chuyền sản xuất đáp ứng các yêu cầu ở giai đoạn lập kế hoạch.

c) sự sẵn có các nguồn lực;

Các nguồn lực cần thiết cho sự thay đổi: hãy xác nhận xem có đảm bảo sự phù hợp về nhân sự, địa điểm, ngân sách… hay không.
Nếu đưa vào sử dụng mà không xác nhận gì, sẽ không thể áp dụng được dây chuyền một cách thuận lợi, gây ảnh hưởng lớn đến việc sản xuất.
Cần phải hỗ trợ sao cho quá trình thay đổi diễn ra thuận lợi.

d) việc phân bổ hoặc tái phân bổ trách nhiệm và quyền hạn.

Hãy phân bổ trách nhiệm và quyền hận cần thiết cho việc thực hiện sự thay đổi một cách rõ ràng.
Bằng cách làm rõ: người phê chuẩn, người phụ trách, người thực hiện sự thay đổi là ai, thì những
vai trò và trách nhiệm tương ứng cũng sẽ được làm rõ.

3. Quy trình thích hợp trong việc quản lý sự thay đổi

1) Liệt kê ra những rủi ro từ sự thay đổi

Đánh giá và liệt kê ra các rủi ro mà sự thay đổi có khả năng gây ra.
Hãy cân nhắc những rủi ro sau đây:

  • Vượt quá ngân sách
  • Vượt quá kỳ hạn
  • Suy giảm chất lượng
  • Không đủ nguồn lực
  • Suy giảm mức độ hài lòng của khách hàng
2) Cân nhắc các biện pháp đối phó với rủi ro

Cân nhắc các biện pháp để giảm thiểu rủi ro, tìm ra các biện pháp giải quyết có thể thực hiện.
Đối với các rủi ro đã đưa ra ở trên, cân nhắc các biện pháp như sau:

  • Vượt quá ngân sách:quản lý ngân sách và theo dõi tiến độ, điều chỉnh nếu cần
  • Vượt quá kỳ hạn:quản lý lịch trình thay đổi và điều tra nguyên nhân và biện pháp đối phó trong trường hợp chậm trễ
  • Suy giảm chất lượng:kiểm tra trước và thực hiện xác nhận
  • Không đủ nguồn lực:phân bổ nhân sự và thiết bị phù hợp
  • Suy giảm mức độ hài lòng của khách hàng:trao đổi với khách hàng, phản hồi từ khách hàng
3) Thông báo với khách (trường hợp đánh giá là cần thiết)

Trường hợp sự thay đổi gây ảnh hưởng đến khách hàng, cần phải thông báo cho khách hàng vào thời điểm thích hợp.
Thời điểm thích hợp là nên thông báo trước. Trước khi sự thay đổi được thực hiện, hãy thông báo nhé!
Ngoài ra, nội dung thông báo,

  • Mục đích của sự thay đổi:tại sao lại cần thay đổi,
  • Sự thay đổi dự kiến:đây là điều khách hàng quan tâm nhất
  • Biện pháp đối phó:điểm này cũng cần trao đổi với khách hàng

Nó sẽ suôn sẻ hơn nếu như bạn xác định từ trước.

4) Thực hiện sự thay đổi

Thực hiện sự thay đổi đã hoạch định, tuân thủ quy trình cần thiết.
Trong trường hợp đó, hãy chú ý những điểm dưới đây:

  • Lập kế hoạch kỹ lưỡng:trước hết, hãy thực hiện theo kế hoạch
  • Quản lý rủi ro:trong quá trình có những rủi ro gì, cần có biện pháp xử lý như thế nào?
  • Theo dõi và giám sát thay đổi:thực hiện nội dung nào vào thời điểm nào, được thực hiện vào thời điểm nào, bởi ai.
  • Văn bản hóa các thay đổi:lý tưởng nhất là bạn có thể nhận được thông tin bạn cần bất cứ lúc nào
5) Xem xét tình trạng thực hiện sự thay đổi

Xem xét tình trạng thực hiện sự thay đổi định kỳ, thực hiện điều chỉnh nếu cần để đạt được mục tiêu.
Xem xét các hạng mục sau, xem xét xem nó có sự thay đổi có đi đúng theo mục đích hay không.

  • Tình trạng nguồn lực:đã có đủ thời gian, nhân lực và thiết bị cần thiết chưa?
  • Quá trình thay đổi:có theo đúng kế hoạch hay không?
  • Hiệu quả của sự thay đổi:đã đạt được mục đích ban đầu chưa?
6) Quản lý nội dung thay đổi

Lập văn bản nội dung thay đổi hoặc sự ảnh hưởng của chúng, quản lý để tham khảo hay cải tiến trong tương lai.
Nội dung lập văn phải cần có các hạng mục sau:

  • Phê chuẩn sự thay đổi:đảm bảo ai có thể theo dõi khi nào
  • Theo dõi quá trình thay đổi:sẽ trở thành bí quyết cho tổ chức
  • Đánh giá sự thay đổi:thực hiện kế hoạch và đạt được mục tiêu

4.Trong ISO9001, mô tả hoạch định sự thay đổi ở đâu?

Đối với yêu cầu liên quan đến 6.3 Hoạch định sự thay đổi trong ISO9001, việc mô tả nội dung cơ bản vào sổ tay chất lượng là điều phù hợp.
Cụ thể, phải ghi rõ các thông tin như: mục đích của sự thay đổi, ảnh hưởng của sự thay đổi, nguồn lực khả dụng, phân bổ trách nhiệm và quyền hạn.
Sổ tay chất lượng quản lý tập trung thông tin liên quan đến thay đổi trong tổ chức, nó nên được đặt ở nơi mà các bên liên quan có thể dễ dàng tiếp cận.
Theo đó, việc thực hiện hoạch định thay đổi được quản lý một cách phù hợp, và đảm bảo vận hành có hiệu quả hệ thống quản lý.

 

Tổng kết
Trong ISO9001, mục 6.3 Hoạch định sự thay đổi, định nghĩa quy trình hoạch định khi tổ chức thực hiện thay đổi, hỗ trợ tổ chức có thể thực hiện thay đổi hệ thống quản lý một cách hiệu quả và hiệu suất.
Tổ chức có thể nâng cao cải tiến bền vững và quản lý chất lượng thông qua việc xác lập và thực hiện kế hoạch thay đổi phù hợp.
Bằng cách mô tả rõ ràng hoạch định sự thay đổi trong sổ tay chất lượng, việc chia sẻ thông tin và quản lý quy trình thay đổi trong tổ chức được diễn ra suôn sẻ.
Theo đó, tổ chức tuân thủ yêu cầu của ISO9001 để có thể duy trì việc vận hành hiệu quả hệ thống quản lý.

QMS là gì? Giải thích về sự khác biệt giữa ISO và EMS, cùng như tính cần thiết của chứng nhận.

Thực hiện đánh giá khách quan việc quản lý chất lượng hoặc phương pháp vận hành việc quản lý chất
lượng của công ty mình là rất khó.

Đặc biệt là khi tổ chức hay nhóm tương đối nhỏ, không ít trường hợp quản lý thiết lập dựa trên kinh
nghiệm và đánh giá của cấp cao.

Nếu suy nghĩ đến sự ổn định của chất lượng cho đối tác mới, hay nâng cao sự thỏa mãn KH, thì phải có
mục tiêu chung mang tính khách quan, và không thể thiếu việc sử dụng hệ thống quản ý chất lượng.

Trường hợp áp dụng hệ thống quản lý chất lượng, thì cái đầu tiên nên xem xét là QMS.

QMS là hướng dẫn tiêu chuẩn hóa như một hệ thống quản lý chất lượng, nó được thiết lập từng yếu tố
mức độ yêu cầu bằng quản lý chất lượng, để bạn có thể đạt chứng nhận tiêu chuẩn bằng cách hoàn thành
mức độ cần thiết.

Trong bài viết này, chúng tôi sẽ giải thích về QMS, sự khác biệt với ISO và EMS mà thường hay có nhầm
lẫn, và giải thích chi tiết về sự cần thiết của chứng nhận.

1.QMS là gì?

QMS là viết tắt của Quality Management System. Tiếng Nhật là “hệ thống quản lý chất lượng”.

QMS nhằm mục đích cải tiến liên tục với đối tượng là chất lượng của dịch vụ hoặc sản phẩm của tổ chức.
Định ra quy tắc vận hành hoặc mục tiêu cụ thể dựa vào cải tiến chất lượng để đạt được nó.

Đối tượng của QMS là có thể thiết lập bằng quy mô ứng với mục đích như: sản phẩm hoặc dịch vụ, đơn
bị nhà sản xuất hay toàn thể tổ chức… tuy nhiên, mục tiêu chung chủ chốt vẫn là nâng cao sự thỏa mãn
của KH.

Ngoài ra, trong QMS có rất nhiều tiêu chuẩn được coi như hướng dẫn, chúng được sử dụng khi áp dụng
thực tế.

Chọn tiêu chuẩn ứng với mục đích của tổ chức, rồi thực hiện quản lý chất lượng dựa theo tiêu chí đó.

2.Sự khác biệt với ISO

ISO là viết tắt của “tổ chức tiêu chuẩn hóa quốc tế” – tổ chức quốc tế phi chính phủ, những tiêu chuẩn
được quy định trong ISO là tiêu chuẩn ISO.

Tiêu chuẩn ISO là những quy định về tiêu chuẩn quốc tế liên quan đến chất lượng sản phẩm và dịch vụ,
những ban hành và sửa đổi được quyết định dựa trên sự bỏ phiếu của hơn 165 quốc gia trên thế giới (tính
đến năm 2014).

QMS có một số tiêu chuẩn với vai trò là hướng dẫn, một trong số đó là bộ tiêu chuẩn ISO9000 do ISO lập
ra.

Trong đó, chủ yếu là ISO9001, đã chứng nhận cho hơn 1 triệu tổ chức trên 170 quốc gia trên thế giới , và
được biết đến như tiêu chuẩn quốc tế về quản lý chất lượng phổ biến nhất trên thế giới.

3.Sự khác biệt với EMS

EMS là viết tắt của “hệ thống quản lý môi trường”, quy định với mục đích chính là kiểm soát gánh nặng
cho môi trường.

Nó giống với QMS ở điểm có mục tiêu là cải tiến liên tục trong tổ chức, nhưng EMS khác với QMS ở chỗ
đối tượng của nó là về môi trường.

Về tiêu chuẩn cụ thể, ISO14001 đã được công bố là tiêu chuẩn JIS quốc gia.

4.Tiêu chuẩn của QMS

Trong QMS có các tiêu chuẩn dùng làm hướng dẫn.

Bằng cách đạt được cải tiến quản lý chất lượng theo điều kiện yêu cầu, có thể nhận được chứng nhận bên
thứ 3 từ đoàn thể chứng nhận các tiêu chuẩn.

Với chứng nhận bên thứ 3 dựa trên tổ chức bên ngoài, đạt tiêu chuẩn QMS sẽ có tác dụng nâng cao độ tin
cậy từ bên ngoài tổ chức.

Đây là giải thích chi tiết về tiêu chuẩn QMS trọng điểm.

(1)ISO9001

ISO9001 là một trong những tiêu chuẩn quốc tế phổ biến nhất trong hệ thống quản lý chất lượng mà ISO
quy định.

Nó cũng được sử dụng như hướng dẫn của QMS, có nhiều trường hợp được chỉ định như một điều kiện
giao dịch, hoặc được lấy để thể hiện mức độ cao trong quản lý chất lượng của công ty. Tại Nhật thì JIS Q
9001 là bản ISO9001 đã được Nhật hóa, thường được sử dụng.

(2)JIS Q 9001

JIS Q 9001 là ISO9001 được Ủy ban tiêu chuẩn công nghiệp Nhật Bản (JISC) dịch ra tiếng Nhật, với mục
đích để có thể sử dụng thuận lợi tại Nhật Bản.

JIS Q 9001 được ban hành dưới dạng tiêu chuẩn công nghiệp Nhật Bản (JIS), khi nói đến ISO9001 tại
Nhật, thì thường là nói đến JIS Q 9001.

(3)SQF

SQF là viết tắt của “Safe Quality Food”, là một tiêu chuẩn của hệ thống quản lý liên quan đến quản lý an
toàn thực phẩm.

Nó được tạo ra do hiệp hội công nghiệp thực phẩm của Mĩ (trước là hiệp hội marketing thực phẩm) quản
lý kết hợp giữa HACCP và Thực hành sản xuất tốt (GMP), hiện được các nước trên thế giới áp dụng.

SQF được coi như là tiêu chuẩn, kết hợp hệ thống quản lý chất lượng tương đương với ISO9001 với quản
lý an toàn thực phẩm dựa trên HACCP, đạt được tiêu chuẩn có thể chứng minh được năng lực quản lý cao
liên quan đến thực phẩm.

5.Chu trình PDCA không thể thiếu trong xây dựng QMS

Chu trình PDCA liên tục là không thể thiếu để xây dựng QMS.

Chu trình PDCA là chu trình được xây dựng từ: “Plan (kế hoạch)”, “Do (thực hiện)”, “Check (đo
lường/đánh giá)”, “Action (đối sách/cải tiến)”, có hiệu quả liên tục nâng cao chất lượng quản lý.

Sau đây chúng tôi sẽ giải thích từng giai đoạn của chu trình PDCA.

P: Thiết lập mục tiêu chất lượng

Thiết lập mục tiêu chất lượng để thực hiện chu trình PDCA.
Những giai đoạn tiếp theo được thực hiện với mục tiêu hoàn thành mục tiêu đã định ra ở đây.
Hơn nữa, mục tiêu chất lượng có tiền đề là cần hợp nhất mục tiêu, phương châm của toàn thể tổ chức.
Ngoài ra, để đảm bảo tính khách quan đối với đánh giá sau thực hiện, yêu cầu phải áp dụng mục tiêu có
thể đo lường.

D: Thực hiện kế hoạch chất lượng

Thực hiện kế hoạch chất lượng thích hợp với mục tiêu chất lượng đã thiết lập.

Cụ thể là cung cấp sản xuất sản phẩm và dịch vụ. Nó thực hiện theo quy trình thực hiện đã lên kế hoạch.

C: Đánh giá/phân tích quản lý

Thực hiện đo lường hoặc đánh giá kết quả sau khi tiến hành.
Đánh giá xem đã đạt được mục tiêu đã thiết lập ở mức độ nào, dựa trên mục tiêu khách quan và chỉ số
định lượng.

A: Thực hiện kế hoạch cải tiến

Khắc phục vấn đề xuất hiện trong khi đánh giá hoặc phân tích.
Ngoài những vấn đề thực tế, cũng phải giải quyết rủi ro tiềm ẩn để tiến tới chu trình tiếp theo.
Hơn nữa, trường hợp kết quả có khác biệt lớn với mục tiêu ban đầu, cũng cần xem xét sửa lại mục tiêu đó.

6.Việc đạt chứng nhận QMS có cần thiết?

Trong xây dựng QMS, dựa vào đáp ứng hạng mục yêu cầu của tiêu chuẩn mà có thể đạt được chứng nhận
tiêu chuẩn như ISO9001.

Đạt chứng chỉ QMS có cần thiết hay không, thì phải tùy thuộc vào phương châm hoặc mục tiêu của
tổ chức, tuy nhiên với mục tiêu đạt chứng nhận cũng rất có ích cho việc nâng cao chất lượng của
sản phẩm hoặc dịch vụ của công ty.

Ngoài ra, nó cũng rất hữu ích trong việc giành được lòng tin, đảm bảo chất lượng cho đối tác và KH.

Hơn nữa, cũng có những lợi ích khác như có cơ hội tham gia giao dịch với điều kiện là đạt được chứng
nhận.
Mặt khác, để đạt được chứng nận QMS, sẽ phát sinh chi phí quản lý duy trì hoặc chi phí đạt chứng nhận.

Nếu đạt QMS, cần phải tiếp tục chỉnh sửa và ghi lại manual đáp ứng tiêu chuẩn.

Mặt khác, khi tiêu chuẩn thay đổi thì cũng cần xử lý, nên cũng có trường hợp duy trì chứng nhận đối với
tổ chức là một gánh nặng.

Trước khi nhắm đến đạt chứng chỉ QMS, cần phải xem xét về lợi ích cũng như nhược điểm của nó.

 

Tổng kết
Áp dụng QMS sẽ rất hiệu quả trong trường hợp duy trì sự bền vững và tính khách quan trong
quản lý chất lượng của tổ chức.


Toàn thể tổ chức nỗ lực để đạt được mức độ yêu cầu và xác nhận yếu tố cần thiết trong quản lý chất lượng
dựa trên mức độ quan trọng.Vì QMS được coi như tiêu chuẩn hướng dẫn, nên để áp dụng nó, cần nhắm đến điều phù hợp với tổ chức
trong số chúng.Ngoài ra, chứng nhận tiêu chuẩn hướng dẫn không phải là bắt buộc. Do có cả lợi ích và nhược điểm, nên
chúng tôi khuyến khích bạn xem xét kĩ trước khi tiến hành.Quản lý chất lượng từ trên xuống là điển hình của tổ chức quy mô nhỏ và vừa, nếu tổ chức trở nên lớn
hơn thì sẽ phức tạp hơn, việc duy trì cũng sẽ trở nên khó khăn.Hơn nữa, đối với ngày nay, các trường hợp áp dụng QMS như điều kiện giao dịch đang có xu
hướng tăng.
Nên việc đạt được QMS sẽ rất có hiệu quả trong việc tạo cảm giác an tâm cho KH và đối tác.

Đầu tiên, hãy bắt đầu bằng việc nắm bắt được QMS nào có liên quan nhiều đối với việc kinh doanh của
công ty bạn.Nếu không biết nên xem xét từ đâu, chúng tôi khuyến khích bạn nên bắt đầu với ISO9001, đây là tiêu
chuẩn linh hoạt nhất và có nhiều ví dụ triển khai.

Điều “8.6 Chuyển giao sản phẩm và dịch vụ” trong ISO9001:2015 (QMS).

ISO 9001 8.6 Phát hành sản phẩm và dịch vụ” là điều khoản yêu cầu việc ổn định quá trình và kiểm tra chất lượng trong việc đảm bảo cung cấp sản phẩm và dịch vụ cho khách hàng. Hãy hiểu rõ “ISO 9001 8.6 Phát hành sản phẩm và dịch vụ” và xây dựng các quy tắc phù hợp với công ty của bạn.

1. Hạng mục yêu cầu ISO9001:2015 (QMS) “8.6 Chuyển giao sản phẩm và dịch vụ”

Trong JIS Q 9001:2015 hệ thống quản lý chất lượng – Hạng mục yêu cầu và hướng dẫn sử dụng, có các
hạng mục yêu cầu như sau:

Tổ chức phải thực hiện các bố trí được hoạch định ở các giai đoạn thích hợp để xác nhận rằng các yêu
cầu sản phẩm và dịch vụ đã được đáp ứng.
Việc chuyển giao các sản phẩm và dịch vụ cho khách hàng sẽ không được tiến hành cho đến khi các bố
trí đã được lập kế hoạch được hoàn thành một cách thỏa đáng, trừ trường hợp được phê duyệt của cấp
có thẩm quyền liên quan và, khi thích hợp, bởi khách hàng.
Tổ chức phải lưu giữ lại thông tin được lập văn bản về việc chuyển giao các sản phẩm và dịch vụ.
Các thông tin được lập văn bản bao gồm:
a) bằng chứng về sự phù hợp với các chuẩn mực chấp nhận;
b) truy xuất nguồn gốc đến (những) người cho phép chuyển giao.

Trích ISO 9001:2015

Tổng kết lại một cách đơn giản, là để thực hiện “chuyển giao cho công đoạn tiếp theo” thì phải lưu lại ghi
chép làm rõ ai là người đã đánh giá đạt.

2. Truy xuất nguồn gốc trong ISO là gì

Trong ISO9001:2015 (QMS) hạng mục yêu cầu mục “8.6 Chuyển giao sản phẩm và dịch vụ” có sử dụng
cụm từ “truy xuất nguồn gốc”.
“Truy xuất nguồn gốc” trong ISO nhằm truy vết làm rõ lý lịch hoặc tiến trình mỗi bước của việc phát
triển, chế tạo, vận chuyển, sử dụng và loại bỏ của sản phẩm hoặc dịch vụ.

Trong bản ISO9001:2000, 7.5.3 Nhận biết và xác định nguồn gốc có nêu: “Tổ chức phải kiểm soát và
lưu hồ sơ việc nhận biết duy nhất sản phẩm khi việc xác định nguồn gốc là một yêu cầu.”

Nói cách khác, để đạt chứng nhận ISO9001 thì cần phải tiêu chuẩn hóa quá trình truy vết mỗi bước
chuyển giao sản phẩm hoặc dịch vụ, xác lập phương pháp để bảo toàn sự tín nhiệm, chất lượng và tính an
toàn của sản phẩm.

3. “8.6 Chuyển giao sản phẩm và dịch vụ”

(1) Chuyển giao là gì

Tại mục 8.6, xác nhận sự thích hợp của sản phẩm hoặc dịch vụ với điều kiện yêu cầu của KH, chỉ ra điều
kiện yêu cầu để chuyển giao.
Ngoài ra, bằng cách thực hiện văn bản hóa việc xác nhận sự thích hợp trước khi chuyển giao, bảo đảmchất lượng của sản phẩm hoặc dịch vụ với mục đích đáp ứng điều kiện yêu cầu của KH.

Điều này có thể ngăn chặn rủi ro về việc cung cấp cho KH sản phẩm hoặc dịch vụ không phù hợp ở mức
thấp nhất.

Mục “8.2.4 Theo dõi và đo lường sản phẩm” và “7.4.3 Kiểm tra xác nhận sản phẩm mua vào” trong
ISO9001:2008 đã được kết hợp làm một.
Đòi hỏi phải xác lập quy trình kiểm tra hoặc giấy phép xuất kho của sản phẩm/dịch vụ và lưu giữ ghi
chép.
Ngoài ra, “phải ghi chép lại về người cho phép chuyển giao chính thức” trong bản 2008 đã được thay đổi
thành “phải cung cấp truy xuất nguồn gốc cho người cho phép”. Phải làm rõ xem ai là người đã cho phép.

Từ “chuyển giao” là tiêu chuẩn có thể gợi ra sự bác bỏ hoặc dấu hỏi một lần nữa.
Tại đây, khi nói “chuyển giao” nghĩa là “chuyển sang công đoạn tiếp theo”.

  •  Kiểm tra chấp thuận=Đạt rồi nên có thể mang đến khu vực kho lưu trữ, hoặc nơi sản xuất
  •  Kiểm tra trong quy trình=Đã đạt nên có thể mang vào quy trình tiếp theo
  •  Kiểm tra bước cuối/xuất hàng=Đạt rồi thì chuyển đến cho KH

Công việc kiểm tra như trên là hạng mục yêu cầu cần thực hiện, và phải được thiết kế với nội dung phù
hợp với “cánh cửa chuyển giao”.

(2) Công ty có bắt buộc phải tự kiểm tra xác xuất cho việc kiểm tra chấp thuận nguyên vật liệu/phụ tùngkhông?

Có hạng mục yêu cầu liên quan đến kiểm tra chấp thuận cho nguyên vật liên hoặc phụ tùng, nhưng công
ty không bắt buộc phải tự kiểm tra xác xuất.
Do có trường hợp tiếp nhận ghi chép của việc kiểm tra do nhà sản xuất nguyên vật liệu/phụ tùng đã thựchiện, nên cần lưu lại chữ ký/đóng dấu của người đã xác nhận trong ghi chép tiếp nhận bất kỳ.

Kiểm tra xác xuất là một phương pháp để chỉ ra tính cần thiết của hoạt động xác nhận xem nguyên vật
liệu hoặc phụ tùng đã tiếp nhận có đáp ứng điều kiện quy định của tổ chức hay không, nhưng cũng có thể
sử dụng phương pháp khác (ví dụ: kiểm tra lấy mẫu…).
Tất nhiên, ngược lại nếu là trường hợp sản phẩm có sự khác biệt lớn về chất lượng, hoặc trường hợp yêu
cầu phù hợp tiêu chuẩn cao, hoặc là sản phẩm cần thực hiện đo lường đặc biệt để bảo đảm chất lượng thì
bắt buộc công ty phải tự thực hiện kiểm tra nghiêm ngặt.

Tùy thuộc vào yêu cầu chất lượng của sản phẩm đó mà tính cần thiết sẽ thay đổi. Quan trọng là cần tạo ra
hệ thống phù hợp với khả năng và tạo ra quy tắc kiểm định khách quan.

Cần phải hết sức chú ý vì có trường hợp phương pháp quản lý một phần của sản phẩm với tiêu chuẩn
quản lý nghiêm ngặt được áp dụng cho sản phẩm có tiêu chuẩn quản lý lỏng lẻo, hoặc nơi làm việc không
tồn tại…

(3) Khi kiểm tra chấp thuận, công ty có phải tự đo lường và ghi lại hay không.

Chú ý là trong ghi chép tiếp nhận thì cần phải lưu lại chữ ký/đóng dấu của người đã xác nhận, nhưngkiểm tra đo lường thì không bắt buộc.

Dĩ nhiên, trong trương hợp sản phẩm có sự khác biệt lớn về chất lượng… giống với (2), thì tùy thuộc vào
yêu cầu chất lượng của sản phẩm đó mà tạo ra quy tắc xử lý cũng có hiệu quả tốt.
Hãy tạo ra quy tắc hoặc tiêu chuẩn dựa theo tính cần thiết nhé!

Tổng kết
Việc chuyển giao sản phẩm hoặc dịch vụ trong ISO9001 8.6 cần lưu lại ghi chép làm rõ ai là người cho
phép đạt để “chuyển giao sang công đoạn tiếp theo”.

Ngoài ra, với việc kiểm tra chấp thuận nguyên vật liệu/phụ tùng thì công ty không nhất thiết phải tự kiểm
tra xác xuất, và cũng không bắt buộc phải lưu lại ghi chép đo lường mà công ty tự thực hiện.Trong ghi chép tiếp nhận của trường hợp bất kì, thì cần phải lưu lại chữ ký/đóng dấu của người đã xác
nhận, nhưng…Cần chú ý là kiểm tra xác suất hoặc kiểm tra đo lường thì không cần phải lưu lại ghi chép.

Cách thiết lập mục tiêu ISO 9001 và kế hoạch thực hiện đơn giản (có ví dụ cụ thể)

Mục tiêu ISO9001 là một trong những mục quan trọng nhất trong chu trình quản lý.

Chìa khóa quan trọng để đạt được mục tiêu là kiểm tra tiến độ và mức độ thích hợp.

Trước hết, hãy chú ý xem các tiêu chí đánh giá có rõ ràng hay không, và thực hiện thiết lập mục tiêu và xây dựng kế hoạch.

1.Khát quát mục tiêu chất lượng – tiêu chuẩn của ISO9001

(1) 6.2.1

Tổ chức phải thiết lập các mục tiêu chất lượng tại các cấp, bộ phận chức năng và các quá trình cần thiết của hệ thống quản lý chất lượng.

Mục tiêu chất lượng phải:

a) nhất quán với chính sách chất lượng;

b) đo lường được;

c) có tính đến các yêu cầu có thể áp dụng;

d) liên quan đến sự phù hợp của sản phẩm và dịch vụ và nâng cao sự thỏa mãn của khách hàng;

e) được giám sát;

f) được truyền đạt;

g) được cập nhật khi thích hợp.

Tổ chức phải duy trì thông tin dạng văn bản về các mục tiêu chất lượng.

※ Trích ISO 9001:2015

Khi xây dựng mục tiêu chất lượng, hãy liên kết chúng với chính sách chất lượng để chúng có thể đo lường được bằng con số.

Nó tuyên bố rằng nội dung phải được thiết lập theo cách có thể mang lại sự hài lòng cho khách hàng và tiến độ phải được quản lý sao cho nhân viên có thể hiểu được nội dung đó.

(2) 6.2.2

Khi hoạch định cách thức đạt được các mục tiêu chất lượng của tổ chức, tổ chức phải xác định:

a) cái gì sẽ được thực hiện;

b) những nguồn lực nào sẽ được yêu cầu;

c) ai sẽ chịu trách nhiệm;

d) khi nào chúng sẽ được hoàn thành;

e) kết quả sẽ được đánh giá như thế nào.

※ Trích ISO 9001:2015

Đối với mục tiêu chất lượng đã xây dựng, phải liệt kê: cần xác định người chịu trách nhiệm, thực hiện biện pháp như thế nào, cần những cái gì, khi nào là thời điểm đạt được mục tiêu, đạt được mục tiêu như thế nào? Hãy

(3) 6.3

Khi tổ chức xác định nhu cầu cho các thay đổi đối với hệ thống quản lý chất lượng, các thay đổi phải được tiến hành một cách hệ thống và có kế hoạch.

Tổ chức phải xem xét:

a) mục đích của sự thay đổi và các hậu quả tiềm ẩn của sự thay đổi;

b) tính toàn vẹn của hệ thống quản lý chất lượng;

c) sự sẵn có các nguồn lực;

d) việc phân bổ hoặc tái phân bổ trách nhiệm và quyền hạn.

※ Trích ISO 9001:2015

Khi thay đổi mục tiêu chất lượng, điều quan trọng là phải suy nghĩ về những gì sẽ xảy ra nếu bạn thay đổi chúng và xem xét những gì cần thiết.

2. Mối liên quan của mục tiêu chất lượng và chính sách chất lượng

(1) Chính sách chất lượng

Chính sách chất lượng đề cập đến ý tưởng cốt lõi của một hệ thống quản lý chất lượng.

Ngoài ra, nó là phần có thể phản ánh tốt nhất suy nghĩ của lãnh đạo cấp cao. Dưới đây là một số nội dung cần xem xét:

a) phù hợp với mục đích và bối cảnh của tổ chức và hỗ trợ các định hướng chiến lược của tổ chức;

b) cung cấp khuôn khổ cho việc thiết lập các mục tiêu chất lượng;

c) bao gồm cam kết thỏa mãn các yêu cầu thích hợp;

d) bao gồm cam kết cải tiến liên tục hệ thống quản lý chất lượng.

※ Trích ISO 9001:2015

(2) Mối liên quan với chính sách chất lượng

Chính sách chất lượng là mục tiêu hoặc mục đích, và cần thiết lập các mục tiêu chất lượng để đạt được chúng.

Do đó, khi chính sách chất lượng được thay đổi do những thay đổi của lãnh đạo cấp cao, có thể cần phải thiết lập lại các mục tiêu chất lượng.

Từ đó cho thấy, chính sách chất lượng và mục tiêu chất lượng có liên quan chặt chẽ.

3.Cách tạo ra mục tiêu chất lượng

(1) Trường hợp chưa xác định mục tiêu cụ thể

① Tạo mới
Khi xem xét nhu cầu và yêu cầu của khách hàng, thiết lập các chỉ tiêu chất lượng※.

Cụ thể thì, bao gồm sự hài lòng của khách hàng, tỷ lệ sản phẩm bị lỗi và tỷ lệ giao hàng đúng hạn.
Mục tiêu rõ ràng, có thể đạt được, và được thiết lập có cân nhắc đến việc phân tích rủi ro và cơ hội cải tiến.

Thực hiện xem xét và cải tiến định kì, đảm bảo các nỗ lực được luôn được thực hiện để đạt mục tiêu.

※ Chỉ tiêu chất lượng là các thước đo và chỉ tiêu định lượng được sử dụng để đo lường và đánh giá chất lượng.

② Thiết lập mục tiêu như thế nào?
Chúng tôi khuyên bạn nên đặt mục tiêu dựa trên các vấn đề của công ty.

Ví dụ, thường có các vấn đề của công ty như mở rộng lợi nhuận, phát sinh lỗi chất lượng và lead time.

Đối với những vấn đề này, chúng ta có thể thiết lập mục tiêu bằng cách đặt ra thời hạn cho chúng.

(2) Trường hợp công ty đã có mục tiêu

Nếu công ty bạn đã có mục tiêu, hãy chắc chắn nên sử dụng chúng làm mục tiêu chất lượng.

Thay vì đặt mục tiêu cho ISO, việc quản lý mục tiêu bằng cách sử dụng các mục tiêu hiện có và tránh lãng phí các nỗ lực sẽ nhất quán hơn.

Tuy nhiên, điều quan trọng là phải kiểm tra xem 5 điểm ( hạng mục thực hiện, nguồn lực cần thiết, người chịu trách nhiệm, thời gian hoàn thành và phương pháp đánh giá) có được kiểm soát hay không.

(3) Ví dụ thực tế về mục tiêu

Có thể nghĩ ra các ví dụ thực tế như từ ① đến ③.

① Hạn chế các lỗi ở ngoài công ty (Tỷ lệ phát sinh từ 0.05% trở xuống, giới hạn trong 10 lỗi)
Đảm bảo lợi nhuận thông thường (Từ 100 triệu yên trở lên, tăng từ 110% trở lên so với năm ngoái)
③ Nâng cao mức độ hài lòng của khách hàng (điểm khảo sát trung bình từ 9 trở lên, tỷ lệ rời bỏ nội trong 5%)

4.3 điều quan trọng trong việc lập kế hoạch để đạt được mục tiêu 

(1) Kiểm tra tiến độ

Việc kiểm tra tiến độ rất quan trọng. Nếu đang làm tốt để đạt được mục tiêu của mình, bạn có thể tiến gần hơn đến việc đạt được chúng bằng cách hiểu tình hình và triển khai hàng ngang.

Mặt khác, nếu có điều gì đó không suôn sẻ hoặc tiến độ bị đình trệ, bạn có thể sửa đổi quỹ đạo bằng cách kiểm tra tiến độ.

 (2) Kiểm tra tính thích hợp

Kiểm tra tính thích hợp nghĩa là việc xác nhận xem các làm hoặc phương pháp đánh giá có thông nhất với mục đích hay không.
Kiểm tra tính cũng thích hợp rất quan trọng để xác nhận xem: có tiến hành theo đúng kế hoạch hay không? Trong quá trình thực hiện, nó có đúng là nội dung giúp đạt được mục tiêu thực sự hay không?

(3) Lập kế hoạch cho năm sau

Khi thiết lập mục tiêu, bạn cần lập kế hoạch cho ít nhất là trong một năm. Để tăng tính khả thi và thúc đẩy hoạt động hiệu quả, điều quan trọng là phải lập kế hoạch không chỉ cho 1 năm, mà còn phải lập cho những năm tiếp theo.

 5.Trường hợp muốn thay đổi kế hoạch

Không có vấn đề gì với việc thay đổi một kế hoạch đã lập ra.
Tuy nhiên, điều rất quan trọng là quản lý những thay đổi như vậy trong ISO. Bạn cần quản lý nó để biết thời điểm và những nội dung đã thay đổi.

Với tình trạng điều kiện xã hội và những phương hướng của công ty thay đổi một cách chóng mặt như hiện nay, sẽ tự nhiên hơn khi nghĩ về việc thay đổi kế hoạch như những phản ứng thông thường hơn là bất thường.

 6.Cách tạo ra sổ tay chất lượng

Khi tạo sổ tay chất lượng cần lưu ý các điều sau:

① Tính phù hợp với tiêu chuẩn
Điều quan trọng là phải tuân thủ các tiêu chuẩn như ISO9001, và phải được tạo ra sao cho phản ánh rõ rang được các yêu cầu tiêu chuẩn.

Làm rõ quy trình
Cần phải bao gồm thông tin rõ ràng về: các bước của quy trình, thủ tục kinh doanh và nội dung kinh doanh.

③ Mức độ dễ đọc và dễ sử dụng
Điều quan trọng là sử dụng các câu ngắn gọn và rõ ràng để các bên liên quan hiểu được dễ dàng, và hình dung chúng bằng sơ đồ, bảng… khi cần thiết.

④ Cải tiến liên tục
Nó cần được cải tiến liên tục, cập nhật tương ứng khi có các yêu cầu và thay đổi mới, và phải chia sẻ với các bên liên quan.

 7.Những điểm thấy được khi đánh giá

Về mục tiêu chất lượng thì trong đánh giá, điểm quan trọng nhất thấy được chính là “phương pháp đánh giá mục tiêu”.

Điều quan trọng là phải suy nghĩ về cách đánh giá từ quan điểm phải làm gì, thay vì suy nghĩ rằng phải nỗ lực cái gì, hoặc mình có đang làm được hay không.

Ngoài ra, phải có tiêu chuẩn khi đánh giá. Vì vậy, điều quan trọng nhất là phải làm rõ tiêu chuẩn cần đạt để đánh giá.

 

Tổng kết

Chính sách chất lượng là mục tiêu hoặc mục đích, và cần thiết lập các “mục tiêu chất lượng” để đạt được chúng.

Nếu công ty bạn đã có mục tiêu chất lượng cho ISO9001, bạn chỉ cần kết hợp nó vào hoạt động của mình hoặc nếu không, bạn cần tạo một mục tiêu mới.
Trong đánh giá, điều quan trọng không chỉ là xác nhận sự tồn tại của các mục tiêu chất lượng, mà còn là làm thế nào để đánh giá liệu có đang nỗ lực hướng tới mục tiêu của mình hay không.
Khi tạo mục tiêu chất lượng, bạn hãy ghi nhớ những điểm được giới thiệu lần này, đặt ra “mục tiêu chất lượng” phù hợp với công ty của mình và tiến hành các hoạt động cải tiến theo chu trình PDCA nhé!

4.2 Hiểu được nhu cầu và mong đợi của các bên quan tâm.

Trong điều khoản 4.2 của ISO 9001 “Hiểu được nhu cầu và mong đợi của các bên quan tâm”, tổ chức được yêu cầu phải hiểu nhu cầu và mong đợi của các bên quan tâm (khách hàng, nhân viên, cổ đông, địa phương lân cận, v.v.) mà họ có liên quan, và thực hiện các biện pháp để đáp ứng chúng. Nói cách khác, điều quan trọng là tổ chức phải hiểu cách hoạt động của mình ảnh hưởng đến các bên liên quan như thế nào và dựa trên đó xây dựng kế hoạch hành động.

1. Yêu cầu tương ứng để hiểu được nhu cầu và mong đợi của các bên quan tâm.

Đầu tiên, hãy xác nhận yêu cầu đã được viết trong JISQ9001:2015. Yêu cầu để hiểu được nhu cầu và
mong đợi của các bên quan tâm được viết tại mục 4.2.
Mục 4.2 Hiểu được nhu cầu và mong đợi của các bên quan tâm được viết như sau:

Do có tác động hoặc tác động tiềm ẩn tới khả năng của tổ chức trong việc cung cấp nhất quán
các sản phẩm và dịch vụ đáp ứng các yêu cầu của khách hàng và các yêu cầu luật định và chế
định thích hợp, tổ chức phải xác định:

a) các bên quan tâm có liên quan đến hệ thống quản lý chất lượng;
b) các yêu cầu của các bên quan tâm này liên quan đến hệ thống quản lý chất lượng. Tổ chức

phải theo dõi và xem xét thông tin về các bên quan tâm và các yêu cầu liên quan của họ.

Nguồn: "Hệ thống quản lý chất lượng ISO 9001:2015 – Các yêu cầu"

2. Các bên liên quan là ai?

Các bên liên quan là cá nhân hoặc tổ chức là bên có ảnh hưởng, hoặc chịu những ảnh hưởng, hoặc nhận
thức được việc chịu ảnh bởi sự việc mang tính quyết định hoặc hành động.

Ví dụ như, khách hàng, người sở hữu, người trong tổ chức, nhà cung cấp, chủ ngân hàng, cơ quan quản
lý, tập đoàn, partner, xã hội (có cả trường hợp bao gồm đối thủ cạnh tranh hoặc nhóm gây sức ép đối
lập)…

Thử tưởng tượng là một công ty xây dựng, thì sẽ tương ứng như sau:

  • Chủ đầu tư
  • Nhà thầu chính
  • Nhân viên
  • Nhà thầu phụ
  • Bộ tài nguyên
  • Cục quản lý xây dựng của chính quyền địa phương
  • Văn phòng thanh tra tiêu chuẩn lao động
  • Hiệp hội tiêu chuẩn lao động
  • Tập đoàn xây dựng
  • Người dân gần công trường

3. Nhu cầu và mong đợi của các bên quan tâm là gì?

“Nhu cầu” là thứ vốn đã được yêu cầu rồi.
Cần phải nắm được là mỗi bên quan tâm sẽ có nhu cầu như thế nào.
Ví dụ như, khách hàng có nhu cầu như thế nào?
Trong nhiều trường hợp như cầu của KH sẽ là: giá rẻ, chất lượng cao, thời gian giao hành nhanh.

“Mong đợi” là thứ không được yêu cầu, nhưng sẽ được thực hiện theo dự kiến.
Đây cũng là vấn đề tồn đọng claim và trách nhiệm doanh nghiệp, nên muốn được xử lý trong khả năng có
thể.
Bằng cách nắm bắt nhu cầu này, có thể hoạt động mà không có bỏ sót điều gì.

4. Ví dụ cụ thể cho nhu cầu và mong đợi của các bên quan tâm.

  • KH: Giá rẻ, chất lượng cao, thời gian giao hàng nhanh.
  • Người lao động: Lương ổn định, việc làm ổn định, đầy đủ phúc lợi an sinh, nghỉ phép có lương.
  • Nhà cung cấp/công ty đối tác: giao dịch ổn định, sử dụng nguyên liệu có tỷ lệ lợi nhuận cao.
  • Người dân lân cận: phòng chống tiếng ồn, rung lắc, ô nhiễm.

5. Sự cần thiết của văn bản hóa yêu cầu.

Ở mục 4.2 Hiểu được nhu cầu và mong đợi của các bên quan tâm, không có yêu cầu về việc văn bản hóa.
Nói cách khác, không cần phải tạo tài liệu cho yêu cầu này.

Tuy nhiên, điểm cần phải chú ý là tại 4.2, cần phải xem xét, và kết quả của việc xem xét cần được văn
bản hóa.

Ví dụ như thực hiện khảo sát mức độ hài lòng của KH, trường hợp có feedback nào đó, thì nội dung
feedback đó cần phải văn bản hóa như biên bản họp để quản lý xem xét.

6. Theo dõi và xem xét nhu cầu và mong đợi.

Tại mục 4.2 của ISO9001, thì cần phải theo dõi và xem xét về việc tổ chức làm rõ nhu cầu và mong muốn của các bên quan tâm.
Vì vậy, với tư cách là tổ chức, thì cần phải theo dõi đánh giá xem nhu cầu và mong đợi của các bên quan
tâm đã được đáp ứng hay chưa?

Tiếp đó, trường hợp phát hiện ra những vấn đền chưa đáp ứng nhu cầu, tại mục 9.3.2 yêu cầu tiêu chuẩn,
thì cần đưa thông tin feedback của các bên quan tâm như hạng mục input quản lý xem xét.
Dựa vào các hoạt động này, kì vọng rằng hoạt động quản lý chất lượng của tổ chức sẽ vận hành trơn tru,
các hoạt động của tổ chức sẽ suôn sẻ.

 

Tổng kết

ISO9001 yêu cầu phải làm rõ, theo dõi và xem xét nhu cầu và mong đợi của các bên quan tâm.
Ngoài ra, cần văn bản hóa kết quả xem xét.
Dựa vào các hoạt động này, kì vọng rằng hoạt động quản lý chất lượng của tổ chức sẽ vận hành trơn tru,
các hoạt động của tổ chức sẽ suôn sẻ.

Thúc đẩy chuyển đổi số (DX) là gì? Sự khác biệt với số hóa và các vấn đề mà các doanh nghiệp phải đối mặt

 

“DX” là tên viết tắt của “Digital Transformation” (Chuyển đổi kỹ thuật số), đề cập đến “Sự biến đổi của xã hội thông qua kỹ thuật số”. Thúc đẩy DX là nỗ lực nhằm giải quyết các vấn đề như sự lỗi thời của hệ thống IT và thiếu hụt nhân lực IT, hay còn được gọi là “Vách đá năm 2025”.

Cùng với sự phát triển mới nhất của việc số hóa và tiến bộ của công nghệ thông tin, chúng ta nghe thấy thuật ngữ “thúc đẩy chuyển đổi số” hay “ứng dụng chuyển đổi số” ngày càng thường xuyên hơn trong những năm gần đây.

Trong kinh doanh, việc thúc đẩy chuyển đổi số đóng một vai trò rất quan trọng, có rất nhiều doanh nghiệp cũng đang xem xét việc ứng dụng chuyển đổi số. Tuy nhiên, doanh nghiệp cần hiểu rõ, đào sâu hơn về DX trước khi tiếp cận.

Trong bài viết này, 3AC sẽ giải thích về “thúc đẩy chuyển đổi số” là gì, sự khác biệt với số hóa, CX・UX, lợi ích và thách thức của chuyển đổi số.
Nếu doanh nghiệp bạn đang chuẩn bị bước vào quá trình ứng dụng DX, hãy tham khảo bài viết dưới đây.

 

 

1. Thúc đẩy chuyển đổi số là gì?

“DX” là tên viết tắt của “Digital Transformation” (Chuyển đổi kỹ thuật số), dịch theo nghĩa đen có nghĩa là “Sự biến đổi của xã hội thông qua kỹ thuật số”.
Nói cách khác, thúc đẩy chuyển đổi số là việc thúc đẩy sự biến đổi xã hội bằng cách ứng dụng công nghệ số vào cuộc sống.

Ban đầu, DX là thuật ngữ được sử dụng trong nghiên cứu về cách công nghệ ảnh hưởng đến cuộc sống. Nhưng từ những năm 2010, nó đã lan rộng cả trong lĩnh vực kinh doanh.

Các công ty hiện nay cần thay đổi sản phẩm, dịch vụ và mô hình kinh doanh bằng cách ứng dụng công nghệ số dựa trên nhu cầu của người dùng và xã hội, để thích ứng với sự thay đổi nhanh chóng của môi trường kinh doanh, và điều này yêu cầu việc thúc đẩy DX.

Hơn nữa, thúc đẩy chuyển đổi số là một nỗ lực cần thiết để đối phó với các thách thức như sự lỗi thời của hệ thống IT và thiếu hụt nhân lực trong lĩnh vực công nghệ thông tin, hay còn được gọi là “Vách đá năm 2025”.

Để hiểu rõ hơn về thúc đẩy chuyển đổi số, chúng ta hãy cùng làm rõ sự khác biệt giữa chuyển đổi số và các thuật ngữ tương tự như số hóa (Digitalization) và CX・UX.

 

(1) Sự khác biệt với Số hóa

Số hóa, hay còn gọi là “Digitalization” là việc ứng dụng Công nghệ thông tin (IT) để cải thiện hiệu suất và năng suất công việc. Điển hình như việc chuyển đổi từ việc liên lạc bằng điện thoại hoặc fax sang email và trò chuyện trực tuyến. Số hóa tập trung chủ yếu vào việc cải thiện các quy trình và hệ thống công việc hiện có mà không thay đổi nguồn gốc như mô hình kinh doanh hay văn hóa tổ chức.

Mặt khác, Chuyển đổi số không chỉ tập trung vào Số hóa, mà còn có mục tiêu tạo ra giá trị mới và đổi mới thông qua sử dụng các công nghệ tiên tiến như phân tích dữ liệu và trí tuệ nhân tạo (AI), nhằm thực hiện sự biến đổi toàn diện trong kinh doanh. Số hóa có thể được coi là một phương tiện trong quá trình chuyển đổi số.

Ngoài ra, có sự khác biệt giữa hai khái niệm này trong việc tạo ra sự thay đổi. Số hóa tạo ra “thay đổi về số lượng” áp dụng trong thực tế công việc, trong khi chuyển đổi số tạo ra “thay đổi về chất lượng” liên quan đến toàn bộ doanh nghiệp. Chú ý đến điểm khác biệt này sẽ giúp bạn hiểu rõ hơn.

 

(2) Sự khác biệt với CX・UX

CX là viết tắt của Customer Experience (Trải nghiệm khách hàng), đề cập đến những cảm nhận và quyết định tổng thể mà người dùng có đối với một công ty khi họ mua hàng hoặc sử dụng dịch vụ.

Trong khi đó, UX là viết tắt của User Experience (Trải nghiệm người dùng), tập trung vào trải nghiệm trực tiếp khi người dùng sử dụng sản phẩm hoặc dịch vụ, bao gồm cả cách sử dụng và tính tiện lợi.

Tóm lại, CX đại diện cho nhận thức toàn diện về công ty thông qua sản phẩm và dịch vụ, và bên trong đó, UX là phần trải nghiệm trực tiếp.

Mặc dù cả chuyển đổi số và CX・UX đều hướng đến việc cung cấp giá trị tốt hơn cho người dùng, nhưng chuyển đổi số tập trung chủ yếu vào việc ứng dụng công nghệ số, trong khi CX・UX chú trọng vấn đề trải nghiệm người dùng.

Chuyển đổi số không chỉ liên quan đến CX・UX mà còn cần xem xét các vấn đề xã hội và phát triển bền vững.

Tuy nhiên, trong chuyển đổi số, các yếu tố như sự hài lòng của người dùng và lòng trung thành đóng vai trò quan trọng. Đồng thời, thông qua việc thực hiện sự biến đổi tổ chức thông qua chuyển đổi số và cải thiện CX・UX, doanh nghiệp có thể mang lại giá trị tốt hơn cho người dùng.

 

2. Các yếu tố có liên quan mật thiết đến chuyển đổi số

Chuyển đổi số liên quan đến nhiều yếu tố khác nhau như hệ thống, bối cảnh xã hội và nhiều yếu tố khác, vì vậy việc hiểu rõ các yếu tố liên quan là rất quan trọng. Ở đây, 3AC sẽ giải thích về các yếu tố có liên quan mật thiết đến chuyển đổi số.

 

(1) ISMS

ISMS là viết tắt của Information Security Management System (Hệ thống quản lý an toàn thông tin).
ISMS là một trong những hệ thống quan trọng trong việc thúc đẩy chuyển đổi số, nó là hệ thống mà các công ty cần áp dụng để bảo vệ tính bảo mật, tính toàn vẹn và tính sẵn sàng của thông tin.
Cụ thể, điều này bao gồm việc thực hiện phân tích rủi ro, thiết lập mục tiêu và quản lý liên tục an toàn thông tin thông qua các biện pháp và cải tiến đa dạng.

Một trong những đặc trưng của ISMS là sự tồn tại của hệ thống chứng nhận dựa trên đánh giá của các cơ quan bên thứ ba về tiêu chuẩn quốc tế.
Có thể coi ISMS là một hệ thống ngày càng quan trọng theo sự phát triển của xã hội thông tin.

 

(2) Vách đá năm 2025

Vách đá năm 2025 là thuật ngữ được đề xuất trong báo cáo “Báo cáo DX – Vượt qua ‘Vách đá năm 2025’ của hệ thống IT và phát triển toàn diện DX” do Bộ Kinh tế, Thương mại và Công nghiệp phát hành vào tháng 9 năm 2018.

Báo cáo này đã nêu rõ rằng “Nếu các doanh nghiệp Nhật Bản không thúc đẩy DX, trong 5 năm kể từ năm 2025, điều này có thể gây thiệt hại kinh tế lên đến 12 nghìn tỷ yên hàng năm”, tạo ra một nội dung gây sốc và sự cần thiết của việc thúc đẩy DX một cách nhanh chóng.

Điểm nổi bật của vách đá năm 2025 là sự kết hợp của nhiều yếu tố như thiếu hụt nhân lực, sự phức tạp và xuống cấp của hệ thống, cùng với sự chuyển đổi nhanh chóng của công nghệ số, đề cập đến khả năng hệ thống IT hiện tại sẽ không hoạt động được vào năm 2025.

Chúng ta hy vọng có thể tránh được vách đá năm 2025, và để làm được điều đó, việc thúc đẩy DX có thể coi là chìa khóa quan trọng.

 

3. Lợi ích từ việc thúc đẩy DX

Như đã đề cập về “Vách đá năm 2025”, việc thúc đẩy DX là một chính sách mà cả quốc gia đều đang nỗ lực thực hiện, và đây cũng là một vấn đề quan trọng mà các doanh nghiệp nên ưu tiên thực hiện.

Vậy lợi ích từ việc thúc đẩy DX là gì? Dưới đây là 3 lợi ích chính:

 

(1) Nâng cao năng suất sản xuất

Lợi ích lớn nhất của việc thúc đẩy DX là việc cải thiện hiệu quả công việc thông qua việc số hóa phù hợp, từ đó dẫn đến việc nâng cao năng suất.

Việc giảm thời gian và nhân lực trong công việc đơn giản hoặc công việc quản lý cũng có thể được thực hiện thông qua việc số hóa, từ đó bạn có thể tập trung vào công việc quan trọng hơn. Ngoài ra, các lỗi và sai sót xảy ra trong công việc thủ công cũng có thể được cải thiện.

 

(2) Giảm thiểu rủi ro

Các doanh nghiệp cần thực hiện các biện pháp phòng ngừa cho mọi tình huống khẩn cấp, chẳng hạn như lập kế hoạch kinh doanh liên tục (BCP).

Một trong những nỗ lực trong việc thúc đẩy DX là triển khai BCP, giúp doanh nghiệp có thể tránh được các rủi ro. Nếu hiệu quả công việc đã được cải thiện thông qua DX, bạn sẽ có thể tạo ra một BCP tối ưu.

Hơn nữa, thông qua việc cải thiện hệ thống cũ và việc chuyển giao hoạt động, các rủi ro lớn trong doanh nghiệp cũng có thể được giảm thiểu.

 

(3) Mở rộng cơ hội phát triển kinh doanh

DX không chỉ là việc cải thiện và tối ưu hóa hiện trạng. Một trong những lợi ích nó mang lại là mở rộng cơ hội phát triển kinh doanh mới.

Bằng việc áp dụng công nghệ tiên tiến nhất, không chỉ có khả năng đáp ứng với sự thay đổi nhanh chóng của môi trường kinh doanh, mà còn có thể nghiên cứu các mô hình kinh doanh mới.

 

4. Những thách thức mà các doanh nghiệp đối mặt khi thúc đẩy DX

Dưới đây là 3 thách thức phổ biến mà các doanh nghiệp thường gặp phải khi ứng dụng DX.

 

(1) Đảm bảo và phát triển nguồn nhân lực

Để thúc đẩy DX, phải có nhân lực IT giỏi. Tuy nhiên, có nhiều trường hợp các vấn đề liên quan đến DX phải nhờ đến các công ty IT bên ngoài.
Do đó, doanh nghiệp có thể gặp khó khăn trong việc đáp ứng nhanh chóng hoặc mất thời gian để phát triển hệ thống mới.

Dự kiến việc đảm bảo nhân lực sẽ ngày càng trở nên khốc liệt hơn, việc đảm bảo và phát triển nhân lực IT trong doanh nghiệp là rất quan trọng và có thể coi là một thách thức lớn.

 

(2) Mục tiêu rõ ràng và chiến lược quản lý

Dù hiểu được tầm quan trọng của việc thúc đẩy DX, nhưng nếu không thực hiện thì sẽ không có ý nghĩa gì cả. Để ứng dụng DX, doanh nghiệp cần có mục tiêu rõ ràng và chiến lược quản lý cụ thể.

Trước hết, doanh nghiệp nên đặt ra mục tiêu chắc chắn và xác định các mục tiêu để tiến tới mục tiêu đó. Ngoài ra, doanh nghiệp cũng nên lập kế hoạch chi tiết hơn về chiến lược quản lý như cách thức tiến hành và triển khai.

Nếu bắt đầu mà thiếu sự chuẩn bị này, doanh nghiệp bạn sẽ có nguy cơ chỉ kết thúc ở việc đơn giản là kỹ thuật số hóa công việc, do đó nhận thức về điều này là rất quan trọng để đối phó với các thách thức.

 

(3) Xây dựng hệ thống nhất quán

Với sự tiến bộ nhanh chóng của công nghệ số trong những năm gần đây, rất nhiều hệ thống đã trở nên phình to và phức tạp do việc thêm vào do tầm nhìn ngắn hạn.
Xây dựng một hệ thống nhất quán có thể là thách thức lớn nhất trong việc thúc đẩy DX (Digital Transformation).

Doanh nghiệp cũng cần có các biện pháp đáp ứng hệ thống như là loại bỏ các phần xuống cấp và làm cho hệ thống gọn nhẹ hơn hoặc đổi mới toàn bộ hệ thống tùy thuộc vào ngân sách.

 

Tổng kết

Thúc đẩy chuyển đổi số (DX) là việc thúc đẩy sự biến đổi toàn diện của doanh nghiệp bằng việc ứng dụng công nghệ số. Qua các từ ngữ tương tự và liên quan như số hóa, CX・UX, ISMS, ta có thể hiểu rõ hơn về DX và khám phá mối liên hệ giữa chúng.

Việc thúc đẩy chuyển đổi số (DX) có thể được xem là biện pháp ưu tiên hàng đầu mà các doanh nghiệp cần thực hiện để đối phó với “vách đá năm 2025”.

Thúc đẩy chuyển đổi số (DX) mang đến nhiều lợi ích như nâng cao năng suất, giảm thiểu rủi ro và tạo cơ hội phát triển kinh doanh. Tuy nhiên, cũng có những thách thức về nhân lực và hệ thống, do đó, việc thiết lập mục tiêu rõ ràng trước khi triển khai là rất quan trọng.

Các yêu cầu của ISO 27001 là gì? 4 việc cần làm để đạt được chứng nhận ISO 27001

 

ISO 27001 có các yêu cầu doanh nghiệp phải đáp ứng để có thể đạt được chứng nhận. Các yêu cầu bao gồm việc thiết lập các chính sách về an toàn thông tin cho các tình huống khác nhau như quản lý thông tin trong nội bộ doanh nghiệp, thông tin được mang ra bên ngoài và các quy định về an toàn thông tin trong các hoạt động nội bộ như đánh giá nội bộ.

 

 

1. ISO27001 (ISMS) là gì?

ISO 27001 là “các yêu cầu mà các doanh nghiệp cần đáp ứng để đạt được chứng nhận ISO 27001”.
ISMS là hệ thống quản lý an toàn thông tin.

ISO27001 đã quy định các phương pháp và quy trình để xây dựng hệ thống này dưới hình thức “các yêu cầu”.

Các doanh nghiệp có thể xây dựng hệ thống quản lý thông tin này bằng cách tuân thủ những yêu cầu và triển khai hệ thống quản lý thông tin trong nội bộ.

 

2. Sự khác biệt giữa ISO 27001 và ISMS

ISO 27001 là “yêu cầu tiêu chuẩn”, trong khi ISMS là “hệ thống quản lý”. ISO 27001 là tên chính thức của chứng nhận, nhưng đôi khi nó được gọi là ISMS theo tên viết tắt của nó.

 

3. ISO 27001 yêu cầu những gì?

Các yêu cầu của ISO 27001 gồm 3 giai đoạn chính:
① “Xây dựng” → ② “Vận hành” → ③ “Cải tiến”

Tuân thủ yêu cầu là việc thực hiện chu kỳ ① ~ ③.

Để đạt được chứng chỉ ISO 27001, doanh nghiệp phải tuân thủ các yêu cầu. Ví dụ: “Truyền đạt chính sách”, “Đánh giá nội bộ”, “Thực hiện xem xét của lãnh đạo”, v.v..

“Các yêu cầu” trong ISO 27001 là “các yêu cầu mà các doanh nghiệp cần đáp ứng để đạt được chứng nhận ISMS (ISO 27001)”.

Các yêu cầu cụ thể của ISO 27001 bao gồm 10 điều:

Điều 0: Lời mở đầu
Điều 1: Phạm vi áp dụng
Điều 2: Các tiêu chuẩn tham chiếu
Điều 3: Thuật ngữ và định nghĩa
Điều 4: Bối cảnh tổ chức
Điều 5: Lãnh đạo
Điều 6: Lập kế hoạch
Điều 7: Hỗ trợ
Điều 8: Hoạt động
Điều 9: Đánh giá hiệu suất
Điều 10: Cải tiến

Các mục từ 0 đến 10 là các nội dung yêu cầu được đề ra theo ISMS (ISO 27001), và đòi hỏi áp dụng cho tất cả các tổ chức.

Phụ lục A (Các biện pháp kiểm soát)
Các biện pháp kiểm soát là các hướng dẫn chỉ ra các biện pháp để đối phó với các rủi ro cụ thể. Theo đó, doanh nghiệp phải đánh giá rủi ro và xác định các biện pháp quản lý được áp dụng.

 

4. Giải thích về các yêu cầu chính của ISO 27001

⑴ [Điều 4] Bối cảnh của tổ chức

Yêu cầu xác định phạm vi áp dụng dựa trên việc hiểu về các vấn đề nội bộ và bên ngoài của tổ chức cũng như nhu cầu của các bên liên quan. Hiểu theo nghĩa rộng, các bên liên quan nội bộ bao gồm ý kiến và nhu cầu của nhân viên; các bên liên quan bên ngoài bao gồm đối tác kinh doanh, nhà cung cấp và đơn vị mua hàng.

 

⑵ [Điều 5] Lãnh đạo

Yêu cầu sự cam kết của người đứng đầu tổ chức trong phạm vi áp dụng. Cam kết có nghĩa là “tuân thủ đúng những điều đã hứa”.
Người đứng đầu tổ chức phải phát huy năng lực lãnh đạo chứ không chỉ phụ thuộc vào người phụ trách.

 

⑶ [Điều 6] Kế hoạch

Điều 6 tương ứng với phần “P” trong chu kỳ PDCA (Plan-Do-Check-Action).
Yêu cầu tiến hành đánh giá rủi ro và lập kế hoạch để đạt được mục tiêu bảo mật thông tin.

※ Chu kỳ PDCA = Plan (Kế hoạch) – Do (Thực hiện) – Check (Đánh giá) – Action (Cải thiện).

 

⑷ [Điều 7] Hỗ trợ

Xác định các kiến thức, kinh nghiệm cần thiết và xác nhận người phụ trách xem họ có đủ kiến thức và kinh nghiệm đó hay không.
Nếu người phụ trách chưa có đủ kiến thức cần thiết, doanh nghiệp cần thực hiện các biện pháp như đào tạo.

 

⑸ [Điều 8] Hoạt động

Điều 8 tương ứng với Phần “D” trong chu kỳ PDCA.
Yêu cầu thực hiện đánh giá rủi ro và đối phó với rủi ro đã được xác định, đồng thời lập kế hoạch, thực hiện và quản lý.
Ngoài việc thực hiện, doanh nghiệp cần phải tạo lập các tài liệu để xác nhận liệu kế hoạch có được thực hiện đúng như dự kiến hay không.

 

⑹ [Điều 9] Đánh giá hiệu suất

Điều 9 tương ứng với phần “C” trong chu kỳ PDCA.

Yêu cầu quy định việc đánh giá hiệu suất và hiệu quả. Để thực hiện đánh giá, doanh nghiệp cần xác định quy trình và chính sách quản lý, theo dõi, đo lường, phân tích và đánh giá, cũng như quyết định thời điểm thực hiện và thời điểm đánh giá. “Đánh giá nội bộ” và “Xem xét của lãnh đạo” cũng được quy định tại đây.

 

⑺ [Điều 10] Cải tiến

Điều 10 tương ứng với phần “A” trong chu kỳ PDCA.

Yêu cầu xác định quy trình để thực hiện hành động khắc phục khi xảy ra sự không phù hợp (phòng chống sự tái phát). Cần xác định các bước cụ thể để khắc phục (đưa về trạng thái phù hợp) và kiểm soát kết quả, cũng như ghi chép và theo dõi hiệu quả của các biện pháp này.

 

5. Phụ lục A của ISO 27001

Phụ lục A là bộ quy tắc các biện pháp kiểm soát, tóm tắt các điểm chính của ISO 27002.
Các biện pháp kiểm soát mô tả cách xử lý tài sản thông tin để ngăn chặn rò rỉ thông tin, chẳng hạn như các quy định về làm việc từ xa.

 

6. 4 việc cần làm để đạt được, duy trì và cập nhật ISO 27001

⑴ Xây dựng ISMS theo yêu cầu của ISO 27001

Như đã giải thích trong phần “3. ISO 27001 yêu cầu những gì?”, ISMS (ISO 27001) đặt ra 10 yêu cầu cụ thể mà doanh nghiệp cần thiết lập quy trình và xây dựng hệ thống quản lý.

1. Phạm vi áp dụng
2. Các tiêu chuẩn tham chiếu
3. Thuật ngữ và định nghĩa
4. Bối cảnh tổ chức
5. Lãnh đạo (thiết lập chính sách, thiết lập cơ cấu tổ chức, v.v.)
6. Kế hoạch (quản lý rủi ro/cơ hội, mục tiêu)
7. Hỗ trợ (tài nguyên, năng lực, giao tiếp, quản lý tài liệu/ghi chép)
8. Vận hành (đánh giá an ninh thông tin và xử lý rủi ro)
9. Đánh giá hiệu suất (đánh giá nội bộ, xem xét của lãnh đạo)
10. Cải tiến (xử lý biện pháp sửa chữa, cải tiến liên tục)

Vui lòng xem phần “4. Giải thích về các yêu cầu chính của ISO 27001” để biết thêm thông tin chi tiết về từng yêu cầu cụ thể.

 

⑵ Hoàn thiện và điều hành ISMS

Khi triển khai ISMS (ISO 27001), điều quan trọng đầu tiên là phải phân chia vai trò, chẳng hạn lựa chọn người chịu trách nhiệm quản lý.

Doanh nghiệp cần thiết lập một cơ cấu với những người đảm nhận vai trò chỉ đạo và hỗ trợ để tiếp tục quá trình xây dựng. Sau khi hoàn thành việc xây dựng, mới chuyển sang giai đoạn điều hành.

Trong quá trình điều hành, doanh nghiệp phải tuân thủ theo các quy định đã xây dựng, nhưng hãy kiểm tra lại bằng việc tiến hành đánh giá nội bộ xem có bất kỳ sự cố hay vấn đề nào không.

Hồ sơ thực hiện của doanh nghiệp sẽ được kiểm tra, vì vậy hãy đảm bảo lưu trữ các hồ sơ một cách chính xác.

Khi chuẩn bị cho đánh giá chứng nhận, có 2 yếu tố quan trọng doanh nghiệp cần quyết định dưới đây:

 

① Tổ chức chứng nhận

Tại Việt nam, có hơn 90 tổ chức chứng nhận ISO. Bạn nên liên hệ với các tổ chức xin ít nhất 2 báo giá trở lên và thu thập thông tin để chọn lựa một tổ chức chứng nhận phù hợp với doanh nghiệp mình.

 

② Phạm vi chứng nhận

Bạn hoàn toàn có thể xin chứng nhận cho một bộ phận hoặc một chi nhánh nhất định.

Không ít doanh nghiệp xác định phạm vi chứng nhận chỉ cho “bộ phận hành chính nhân sự”, “chi nhánh XX” hoặc “trụ sở chính” chứ không áp dụng cho toàn bộ công ty. doanh nghiệp cần quyết định phạm vi chứng nhận và mô tả nội dung công việc cần đăng ký chứng nhận để yêu cầu đánh giá.

 

⑶ Thanh toán chi phí đánh giá

Doanh nghiệp bắt buộc phải thanh toán chi phí cho Tổ chức chứng nhận để được thực hiện đánh giá chứng nhận và được cấp giấy chứng nhận ISO.

Do đó, bạn nên làm thủ tục thanh toán khi nhận được đề nghị yêu cầu thanh toán từ Tổ chức chứng nhận nhanh nhất có thể.

 

⑷ Thực hiện hành động khắc phục trước thời hạn trong trường hợp phát hiện sự không phù hợp

Trong quá trình đánh giá, sẽ có thể có các phát hiện về sự không phù hợp, nhưng nếu bạn không thực hiện hành động khắc phục, hệ thống quản lý của doanh nghiệp bạn sẽ không được chấp nhận và không được cấp giấy chứng nhận ISO.

Ngoài ra, doanh nghiệp phải thực hiện hành động khắc phục trước thời hạn và theo biểu mẫu được chỉ định theo quy định của Tổ chức chứng nhận.

Hãy đảm bảo thực hiện các hành động khắc phục dưới sự hướng dẫn của chuyên gia đánh giá và hoàn thành trước thời hạn đã định.

 

7. Sự không phù hợp và hành động khắc phục

Không ít doanh nghiệp thắc mắc về khả năng “bị trượt đánh giá”.

Nếu có phát hiện về “sự không phù hợp nghiêm trọng” trong quá trình đánh giá, thì doanh nghiệp bạn có thể bị “trượt đánh giá”.

Sự không phù hợp được chia làm 2 loại: “sự không phù hợp nghiêm trọng” và “sự không phù hợp nhẹ”.

Đối với những trường hợp thiếu sót nhỏ trong hoạt động hoặc không phải là vấn đề lớn trong hệ thống quản lý, doanh nghiệp bạn chỉ cần thực hiện hành động khắc phục cho “sự không phù hợp nhẹ”. Nhưng nếu có “sự không phù hợp nghiêm trọng”, quá trình đánh giá có thể bị gián đoạn hoặc không thể tiếp tục.

Các trường hợp được xem là “sự không phù hợp nghiêm trọng” bao gồm việc xây dựng các quy định không tuân thủ yêu cầu của ISMS (ISO 27001) hoặc không thực hiện hoạt động sau khi xây dựng (đặc biệt là hoạt động đánh giá nội bộ và xem xét lãnh đạo) và chuyên gia đánh giá phán đoán là không có khả năng cải tiến.

Như đã trình bày ở mục “6. 4 việc cần làm để đạt được, duy trì và cập nhật ISO 27001” ở trên, doanh nghiệp phải thực hiện 2 việc dưới đây để chuẩn bị cho đánh giá chứng nhận:
① Xây dựng ISMS theo yêu cầu của ISO 27001
② Hoàn thiện và điều hành ISMS

 

Tổng kết

Bạn đã nắm được 4 điều kiện cần thiết để đạt được chứng nhận ISMS (ISO 27001) rồi chứ? 4 điều kiện đó là: xây dựng và vận hành hệ thống quản lý an toàn thông tin, thanh toán chi phí đánh giá, thực hiện hành động khắc phục sự không phù hợp được phát hiện trong quá trình đánh giá.
Trước ngày đánh giá chứng nhận, có rất nhiều việc cần phải làm như xây dựng, vận hành,… Bạn có thể tham khảo ý kiến từ công ty tư vấn để được hướng dẫn cách thức thực hiện.

Hiện tại chúng tôi đang tiếp nhận tư vấn miễn phí ISO 9001, ISO 14001, ISO 27001! Chuyên gia tư vấn sẽ lắng nghe và giải đáp mọi thắc mắc của bạn. Xin vui lòng liên hệ với chúng tôi!

Tam giác bảo mật CIA (tính bảo mật, tính toàn vẹn, tính sẵn sàng) là gì?

 

Ba tính chất của bảo mật thông tin là “tính bảo mật”, “tính toàn vẹn” và “tính sẵn sàng”. Hiểu rõ 3 yếu tố bảo mật này là bước căn bản đầu tiên trong quá trình xây dựng một hệ thống thông tin an toàn. Ba yếu tố này còn được gọi là tam giác bảo mật CIA.

 

 

1. 3 yếu tố bảo mật “tính bảo mật”, “tính toàn vẹn” và “tính sẵn sàng” là gì?

ISMS (ISO 27001) yêu cầu xây dựng một hệ thống có thể duy trì 3 yếu tố “tính bảo mật”, “tính toàn vẹn” và “tính sẵn sàng”. Đây là 3 yếu tố ngăn chặn việc làm sai lệch, thất thoát, mất mát, hư hỏng các thông tin quan trọng và xử lý thông tin một cách an toàn.
Ba yếu tố bảo mật, toàn vẹn và sẵn sàng thường được gọi bằng từ viết tắt tiếng Anh là “CIA”.

“Tính bảo mật”: confidentiality
“Tính toàn vẹn”: integrity
“Tính sẵn sàng”: availability

 

2. Tính bảo mật: Confidentiality là gì?

Tính bảo mật tức là, đảm bảo thông tin chỉ được phép truy cập bởi những đối tượng được cấp phép, hay nói cách khác, là việc đảm bảo thông tin được bảo vệ sao cho không bị tiết lộ cho những đối tượng không được cấp phép.
Tính bí mật của thông tin có thể đạt được bằng cách sử dụng các biện pháp như xác thực, giới hạn truy cập và mã hóa.

Nếu tính bảo mật của thông tin được đảm bảo, thì có thể ngăn chặn sự xâm nhập từ bên ngoài và giảm thiểu khả năng rò rỉ, mất mát, thất thoát hoặc hư hỏng thông tin.

(1) Tài sản thông tin cần được bảo mật
① Thông tin cá nhân

Thông tin cá nhân của khách hàng và nhân viên, địa chỉ, số điện thoại, địa chỉ email và thông tin nhận dạng cá nhân khác phải được bảo vệ dưới góc độ quyền riêng tư.

② Bí mật kinh doanh

Thông tin là bí mật thương mại liên quan đến năng lực cạnh tranh cần được bảo vệ chẳng hạn như nghiên cứu và phát triển, thông tin kỹ thuật, chiến lược kinh doanh, thông tin về sản phẩm và dịch vụ mới, v.v..

③ Thông tin hợp đồng

Các thông tin có thể được yêu cầu phải bảo mật là thông tin liên quan đến hợp đồng, chẳng hạn như hợp đồng với đối tác kinh doanh và công ty đối tác, và thông tin dự án trong quá trình đàm phán kinh doanh.

④ Thông tin tài chính

Thông tin liên quan đến tình hình tài chính của một tổ chức, bao gồm dữ liệu kế toán, ngân sách và dự toán, và kế hoạch tài trợ, cần được giữ bí mật.

⑤ Thông tin pháp lý và luật định

Thông tin liên quan đến các yêu cầu pháp lý và luật định, chẳng hạn như tài liệu pháp lý, thông tin kiện tụng và báo cáo kiểm toán, cũng cần được bảo vệ.

⑥ Thông tin bảo mật

Tính bảo mật rất quan trọng đối với thông tin liên quan đến bảo mật thông tin, chẳng hạn như sơ đồ cấu hình mạng, thông tin lỗ hổng hệ thống và mật khẩu.

 

(2) Các biện pháp cụ thể
① Kiểm soát truy cập

Giới hạn quyền truy cập thông tin chỉ cho những người có quyền hạn tối thiểu cần thiết, nhằm ngăn chặn truy cập trái phép và rò rỉ thông tin.
Áp dụng danh sách kiểm soát truy cập (ACL) và chỉ cho phép truy cập đối với người dùng cụ thể hoặc nhóm cụ thể.

② Mã hóa

Áp dụng công nghệ mã hóa cho việc truyền tải và lưu trữ dữ liệu, nhằm đảm bảo rằng thông tin không thể đọc được ngay cả khi xảy ra truy cập trái phép hoặc rò rỉ.
Nên sử dụng các phương pháp mã hóa phù hợp như mã hóa toàn bộ thiết bị hoặc mã hóa tệp tin.

③ Phân loại dữ liệu

Phân loại tài sản thông tin theo mức độ bảo mật và áp dụng các biện pháp bảo vệ phù hợp cho mỗi mức độ.
Lập chính sách phân loại dữ liệu và thông báo rõ ràng cho nhân viên.

④ Giáo dục và đào tạo về an toàn thông tin

Tổ chức các chương trình giáo dục và đào tạo về an toàn thông tin nhằm nâng cao nhận thức của nhân viên.
Thực hiện đào tạo nâng cao kiến thức định kỳ và liên tục, nhằm cải thiện liên tục các biện pháp bảo mật.

⑤ An ninh vật lý

Lưu trữ tài sản thông tin trong các cơ sở và phòng được áp dụng biện pháp bảo mật, nhằm ngăn chặn truy cập trái phép và mất mát do trộm cắp.
Nên áp dụng các biện pháp bảo mật vật lý như camera an ninh và thẻ truy cập.

⑥ Thiết lập chính sách và quy trình an toàn thông tin

Xây dựng chính sách an toàn thông tin cho toàn bộ tổ chức và đề ra các quy trình và quy tắc cụ thể.
Thường xuyên xem lại và cải thiện chính sách để thích nghi với tình hình an ninh.

⑦ Kiểm tra và đánh giá bảo mật

Thực hiện kiểm tra và đánh giá bảo mật định kỳ để xác minh hiệu quả của các biện pháp bảo mật thông tin.

 

3. Tính toàn vẹn: Integrity là gì?

Tính toàn vẹn là trạng thái mà thông tin được lưu trữ hoặc truyền tải một cách chính xác và nhất quán. Điều này giúp ngăn chặn việc dữ liệu bị thay đổi sai hoặc bị sửa đổi một cách trái phép. Khi tính toàn vẹn không được đảm bảo, độ chính xác và đáng tin cậy của thông tin sẽ bị mất đi.

Nói một cách đơn giản, việc duy trì sự chính xác, sự cập nhật và sự đầy đủ trong thông tin là mục tiêu của tính toàn vẹn.

Ví dụ, nếu áp dụng vào tính toán lương, khi tính toàn vẹn không được đảm bảo, có thể xảy ra các vấn đề sau:

– Số tiền lương sai lệch: Nếu thời gian làm việc và thời gian làm thêm của nhân viên không được ghi chính xác, có thể dẫn đến sai sót trong tính toán lương. Điều này có thể ảnh hưởng đến động lực làm việc và gánh nặng trong cuộc sống của nhân viên, gây ảnh hưởng tiêu cực đến năng suất của tổ chức.

– Vi phạm pháp luật: Một số trường hợp sẽ bị quy cho là không tuân thủ các quy định pháp luật về mức lương tối thiểu hoặc giới hạn thời gian làm việc đã được quy định. Điều này không chỉ khiến công ty bị xử phạt mà danh tiếng của công ty cũng sẽ bị tổn hại.

(1) Tài sản thông tin cần duy trì tính toàn vẹn
① Thông tin tài chính

Thông tin liên quan đến giao dịch tài chính như thông tin tài khoản ngân hàng, thông tin thẻ tín dụng, lịch sử thanh toán, cần phải đảm bảo tính toàn vẹn vì sự thay đổi hoặc sửa đổi sai sót có thể dẫn đến thiệt hại lớn.

② Thông tin khách hàng

Thông tin về cá nhân khách hàng, lịch sử giao dịch, nội dung hợp đồng và các thông tin liên quan đến khách hàng đòi hỏi tính chính xác để duy trì mối quan hệ tin cậy.

③ Thông tin nhân viên

Thông tin về cá nhân nhân viên, quản lý chấm công, thông tin về lương và các thông tin liên quan đến nhân viên yêu cầu tính toàn vẹn để đảm bảo độ chính xác và đáng tin cậy của dữ liệu liên quan đến nhân viên.

④ Thông tin sản phẩm và dịch vụ

Thông tin về thông số kỹ thuật sản phẩm, giá cả, thông tin kho hàng và các chi tiết khác liên quan trực tiếp đến hoạt động kinh doanh cần đảm bảo tính chính xác.

⑤ Thông tin liên quan đến pháp luật và quy định

Thông tin liên quan đến pháp luật, quy định và tuân thủ pháp lý yêu cầu tính toàn vẹn để thực hiện hoạt động đúng quy định.

⑥ Tài sản trí tuệ

Thông tin về tài sản trí tuệ như bằng sáng chế, quyền tác giả, quyền thương hiệu là quan trọng cho sự cạnh tranh của công ty, và do đó, yêu cầu tính toàn vẹn.

⑦ Thông tin kế toán và tài chính

Sổ sách kế toán, báo cáo tài chính, ngân sách và các thông tin tài chính khác ảnh hưởng đến quản lý doanh nghiệp, yêu cầu tính chính xác và đáng tin cậy.

 

(2) Các biện pháp cụ thể
① Kiểm soát truy cập

Quản lý quyền truy cập thông tin và ngăn chặn sự thay đổi hoặc sửa đổi trái phép.

② Sao lưu dữ liệu

Thực hiện sao lưu định kỳ dữ liệu để khôi phục thông tin chính xác trong trường hợp dữ liệu bị hỏng.

③ Tổng kiểm và hàm băm

Xác minh tính toàn vẹn của dữ liệu bằng cách tổng kiểm tra và sử dụng hàm băm.

④ Xác minh nhập và chỉnh sửa dữ liệu

Đảm bảo rằng dữ liệu được nhập và chỉnh sửa chính xác bằng cách thiết lập các kiểm tra hợp lệ trên biểu mẫu nhập liệu, theo dõi và kiểm tra lịch sử thay đổi của dữ liệu để bảo đảm tính toàn vẹn.

 

4. Tính sẵn sàng: Availability là gì?

Tính sẵn sàng đề cập đến khả năng của một hệ thống thông tin được truy cập vào đúng thời điểm, bởi đúng người và được cung cấp đúng các tài nguyên cần thiết.

Tính sẵn sàng được định nghĩa là:
① Thời gian ngừng hoạt động của hệ thống ở mức tối thiểu.
② Hệ thống hoạt động với hiệu suất phù hợp.
③ Dữ liệu có thể được truy cập vào những thời điểm thích hợp.
④ Mạng và các dịch vụ hoạt động bình thường.
⑤ Có kế hoạch phục hồi dự phòng để đối phó với thiên tai và sự cố.

Ví dụ: đối với bộ nhớ dùng chung và bộ nhớ đám mây
Ổ đĩa dùng chung và bộ nhớ đám mây nơi lưu trữ các tệp và tài liệu được chia sẻ trong công ty phải luôn có thể truy cập được mà không gặp sự cố hoặc suy giảm hiệu suất.

(1) Tài sản thông tin cần duy trì tính sẵn sàng
① Cơ sở dữ liệu khách hàng

Cơ sở dữ liệu chứa thông tin quan trọng về khách hàng, chẳng hạn như thông tin khách hàng và lịch sử giao dịch, đóng vai trò quan trọng trong các hoạt động kinh doanh như bán hàng và hỗ trợ khách hàng.

② Thông tin tài chính

Thông tin quan trọng liên quan đến quản lý doanh nghiệp, chẳng hạn như tình hình tài chính và các chỉ số quản lý của công ty, đóng một vai trò quan trọng trong việc ra quyết định và xây dựng chiến lược.

③ Tài liệu nội bộ

Các tài liệu cần thiết cho việc thực hiện kinh doanh, chẳng hạn như hướng dẫn thủ tục và quy trình kinh doanh nội bộ, hợp đồng và báo cáo, là cần thiết để đảm bảo việc thực hiện kinh doanh suôn sẻ và tuân thủ.

④ Hệ thống và ứng dụng

Các hệ thống và ứng dụng kinh doanh nội bộ là cần thiết để thực hiện kinh doanh hiệu quả và chia sẻ thông tin. Điều quan trọng là các hệ thống và ứng dụng này phải hoạt động tốt và người cần truy cập có thể truy cập được.

⑤ Email

Thư điện tử là tài sản thông tin không thể thiếu để liên lạc trong nội bộ và với bên ngoài. Tốc độ đường truyền khi gửi và nhận email phải được đảm bảo và người cần truy cập có thể truy cập được.

 

(2) Các biện pháp cụ thể
① Dự phòng

Nên thực hiện dự phòng cho máy chủ và thiết bị mạng. Cho các thiết bị và hệ thống dự phòng hoạt động từ thời điểm mọi thứ diễn ra bình thường, để đảm bảo hệ thống vẫn hoạt động liên tục khi xảy ra sự cố.

② Sao lưu

Thực hiện sao lưu dữ liệu và hệ thống đều đặn, nhằm đảm bảo khả năng khôi phục nhanh chóng khi xảy ra sự cố hoặc mất dữ liệu.

③ Bảo trì

Thực hiện bảo trì định kỳ cho hệ thống và mạng, nhằm ngăn chặn sự suy giảm hiệu suất và xảy ra sự cố từ trước.

④ Giám sát

Theo dõi tình trạng hệ thống và mạng theo thời gian thực, và đối phó nhanh chóng khi phát hiện sự bất thường.

 

5. Cách phân loại mức độ của CIA (Confidentiality, Integrity, Availability)

ISMS (ISO 27001) yêu cầu phải thực hiện đánh giá rủi ro tài sản.

Khi đánh giá rủi ro, các tài sản thông tin sẽ được xác định giá trị dựa trên mức độ CIA (Confidentiality, Integrity, Availability).

Có nhiều công ty xác định mức độ của tài sản thông tin bằng cách áp dụng các tiêu chí sau.

Tính bảo mật Tính toàn vẹn Tính sẵn sàng
Level 3 Tính bảo mật cao Tính toàn vẹn cao Tính sẵn sàng cao
level 2 Tính bảo mật ở mức trung bình  Tính toàn vẹn ở mức trung bình Tính sẵn sàng ở mức trung bình
Level 1 Tính bảo mật thấp  Tính toàn vẹn thấp Tính sẵn sàng thấp

 

6. Cách áp dụng CIA vào hoạt động kinh doanh

Để có thể áp dụng tam giác bảo mật CIA (Confidentiality, Integrity, Availability) vào hoạt động kinh doanh, doanh nghiệp cần nâng cao chất lượng và hiệu suất công việc bằng cách duy trì mức độ bảo mật CIA một cách thích hợp.

Tính bảo mật (Confidentiality)

Giới hạn quyền truy cập đối với các tài sản thông tin có tính bảo mật cao như thông tin khách hàng và bí mật công ty để giảm thiểu rủi ro truy cập trái phép và rò rỉ thông tin.
Khi trao đổi thông tin nội bộ và bên ngoài công ty, việc sử dụng công nghệ mã hóa có thể giảm thiểu rủi ro rò rỉ thông tin cho bên thứ ba.

Tính toàn vẹn (Integrity)

Để ngăn chặn sự thay đổi hoặc hư hỏng dữ liệu, cần thiết lập các quyền liên quan đến việc nhập, chỉnh sửa và xóa dữ liệu một cách chính xác và ngăn chặn sự giả mạo dữ liệu do hành động trái phép.
Thực hiện sao lưu dữ liệu định kỳ và đảm bảo rằng dữ liệu có thể được khôi phục chính xác và hoàn chỉnh trong trường hợp xảy ra sự cố.

Tính sẵn sàng (Availability)

Thực hiện vận hành và quản lý máy chủ và mạng một cách hợp lý, duy trì trạng thái truy cập hệ thống và dịch vụ thông tin cần thiết cho công việc vào thời điểm thích hợp.
Lên kế hoạch đối phó với thiên tai và lập kế hoạch dự phòng để đảm bảo khả năng tiếp tục hoạt động của doanh nghiệp trong trường hợp xảy ra sự cố hệ thống hoặc thiên tai.

 

7. Sự cân bằng quan trọng giữa tính bảo mật, tính toàn vẹn và tính sẵn sàng

Việc cân bằng 3 yếu tố tính bảo mật (C), tính toàn vẹn (I) và tính sẵn sàng (A) đã đề cập ở trên mới là quan trọng.

Ví dụ, nếu bạn ưu tiên quá nhiều vào tính bảo mật, các biện pháp hạn chế truy cập thông tin có thể dẫn đến sự suy giảm của tính sẵn sàng. Tương tự, nếu bạn quá ưu tiên tính toàn vẹn, việc quản lý thông tin quá đà sẽ làm giảm hiệu suất công việc.

Bằng cách vận dụng CIA một cách cân bằng và phù hợp, bạn có thể bảo vệ tài sản thông tin một cách hiệu quả, cải thiện tính ổn định và tính đáng tin cậy của công việc.

Do đó, doanh nghiệp nên cân bằng và đánh giá rủi ro 3 yếu tố tính bảo mật (C), tính toàn vẹn (I) và tính sẵn sàng (A); và xem xét các yếu tố ảnh hưởng xã hội và ảnh hưởng kinh tế.

 

8. Bốn tính chất mới trong khái niệm an ninh thông tin

Trong thời gian gần đây, ngoài tính bảo mật (C), tính toàn vẹn (I) và tính sẵn sàng (A), còn có thêm 4 tính chất mới được chú trọng, đó là:

① Tính xác thực (Authenticity)

Đảm bảo rằng các tổ chức hoặc cá nhân truy cập thông tin có quyền truy cập. Không cấp quyền truy cập cho người không mong đợi.

② Tính đáng tin cậy (Reliability)

Đảm bảo dữ liệu và hệ thống hoạt động mà không có lỗi do con người hoặc lỗi trong chương trình (lỗi phần mềm) và thực hiện đúng ý đồ mong muốn.

③ Tính trách nhiệm (Accountability)

Theo dõi hoạt động của các công ty hoặc cá nhân. Điều này giúp xác định nguyên nhân và hành vi của người dùng trong trường hợp có mối đe dọa truy cập trái phép vào thông tin.

④ Tính không thể chối bỏ (Non-repudiation)

Chứng minh rằng thông tin không thể bị phủ nhận sau này. Điều này đảm bảo rằng thông tin không bị sửa đổi hoặc chối bỏ sau khi được sử dụng. Việc ghi log hệ thống là một biện pháp phòng ngừa chống lại sự chối bỏ.

 

Tổng kết

Tính bảo mật, tính toàn vẹn và tính sẵn sàng là các yếu tố nhằm ngăn chặn việc làm sai lệch, mất mát, thất thoát, hư hỏng các thông tin quan trọng và xử lý thông tin một cách an toàn.

Sự cân bằng giữa mỗi yếu tố là rất quan trọng và có nhiều trường hợp tính bảo mật không được đảm bảo khi ưu tiên tính sẵn sàng, vì vậy hãy cân nhắc các tác động xã hội và tác động kinh tế khi đánh giá mức độ các tính chất này.