Regulacje i standardy w niektórych branżach wymagają, aby organizacja zachowywała gotowość do kontroli, audytu lub inspekcji. Przykładem mogą być wymagania GMP (Good Manufacturing Practices) w przemyśle farmaceutycznym, MDR (Medical Device Regulation) dla wyrobów medycznych, a ostatnio też AI Act dla systemów AI wysokiego ryzyka. Utrzymanie gotowości do kontroli wymaga skoordynowanej współpracy zaangażowanych jednostek i tu pomocne może być zastosowanie assurance case. Struktura assurance case zapewnia jawne powiązanie celów audytowych z dokumentacją dowodową. Stosowane są też mechanizmy kontroli aktualności dokumentacji i zarządzania zmianami. Dynamiczne assurance case, gdy są wdrożone dla danego procesu lub systemu, zapewniają możliwość utrzymywania gotowości audytowej. Assurance case staje się bazą wiedzy o gotowości, która ewoluuje w czasie, a jednocześnie ma w sobie mechanizmy pomagające kontrolować spójność, kompletność i aktualność.
Skuteczność i wykrywanie luk
Strukturalne argumentacje wymuszają powiązanie w logiczny łańcuch zależności celów zgodności ze wszystkimi dowodami ich osiągnięcia. To ułatwia prowadzenie audytów. Jest to użyteczne dla utrzymania gotowości do kontroli. Narzędzia assurance case na bieżąco pokazują status gotowości dla każdego obszaru. Gdy assurance case jest zintegrowane z systemem zarządzania dokumentacją, możliwa jest sprawna weryfikacja gotowości do kontroli. Umożliwia to szybkie wykrywanie luk, a przecież chodzi właśnie o to, aby je samodzielnie wykrywać i naprawiać, aby nie były wykrywane podczas audytów zewnętrznych.
Większość czasu podczas kontroli i inspekcji pochłania szukanie, selekcja i przygotowanie danych, a nie ich analiza. Czasem analiza to tylko 20% czasu kontroli. Stosowanie assurance case to zmienia, bo dane są od początku porządkowane i jest to utrzymywane przez cały czas. Więcej czasu można przeznaczyć na analizę. Audyty są bardziej efektywne. Nawet jeżeli początkowa struktura argumentacji nie jest optymalna, to kolejne audyty dają też informacje zwrotne pomagające ją poprawić. Dobre assurance case zapewniają wysoką efektywność audytów. Strukturalne argumentacje ułatwiają prowadzenie kontroli i weryfikacji, co czasem można interpretować, że bardziej pomagają audytorom, a nie jednostką audytowanym. Ale tu kontrolujemy naszą własną gotowość do audytów i ta cecha assurance case staje się korzyścią dla nas.
Assurance cases są uniwersalnym rozwiązaniem skutecznym na poziomie całej organizacji, może obejmować różne działy, systemy i technologie. W ten sposób assurance case staje się też platformą komunikacji.
Komunikacja i jasne odpowiedzialności
Jedna platforma zarządzania gotowością do audytów tworzy środek komunikacji nie tylko między jednostkami organizacji, ale też w komunikacji z audytorami. Ponieważ assurance case ułatwiają audyty, audytorzy chętnie pracują z ich użyciem. Każda sekcja argumentacji ma jasno określony cel i kontekst, dzięki czemu komunikacja staje się bardziej konkretna i zorientowana na cele. Jest mniej niejasności i niewłaściwego zrozumienia drugiej strony. Problem silosów informacyjnych praktycznie jest redukowany, bo dekompozycja argumentacji jest automatycznie powiązana z odpowiedzialnościami za jej części.
Poszczególne części assurance case mają swoich właścicieli, więc automatyczne uczestniczą oni w komunikacji na dany temat. Unikamy wielu niejasności dotyczących odpowiedzialności. Dla każdego dowodu w argumentacji jest też określone jego źródło. Takie informacje ułatwiają przypisanie odpowiedzialności i pokazują audytorowi, że organizacja ma realną kontrolę nad obszarami objętymi audytem.
Zarządzanie zmianami
Gdy dochodzi do zmiany w procesie, produkcie lub regulacjach, assurance case pozwala szybko ocenić, które gałęzie argumentacji wymagają aktualizacji — zamiast przeglądać całą dokumentację od nowa, mamy konkretny obszar do przeglądu i aktualizacji. Jeżeli występują powiązania, to są one jawnie definiowane w argumentacji i są uwzględniane w analizie zakresu zmian.
Niektóre zmiany wynikają z samego upływu czasu. Dowody zgodności często nie są ważne bezterminowo. Koniec ich ważności jest raportowany i powoduje potrzebę uruchomienia określonych działań, na przykład wykonanie przeglądu i odnowienie.
Wszystkie zmiany są jawnie definiowane i raportowane. Raporty pokazują aktualny stan gotowości do audytów ze wskazaniem obszarów wymagających działań lub gdzie przewidywane są potrzeby działań w najbliższym czasie. Dane w assurance case podlegają zarządzaniu konfiguracją i wersjonowaniu. Możliwa jest analiza stanu dla dowolnej wersji z przeszłości.
Dostosowanie i skalowalność
Zmiany mogą też wynikać z decyzji i zdarzeń biznesowych. Assurance case z natury dają możliwość elastycznego dostosowania struktury argumentacji do specyfiki procesów czy systemów. Daje nam to elastyczność, ale pod kontrolą procesów zarządzania zmianami. W każdym momencie struktura celów i wymagań, oraz powiązanych z nimi dowodów jest jasno określona.
Dziel i rządź. Ta zasada działa też w assurance case. Możemy je dzielić na moduły, a jednocześnie w ten sposób rozdzielać odpowiedzialności. Jest to zintegrowane z zarządzaniem uprawnieniami, aby właściwe osoby upoważniać do zadań takich jak dostarczanie i aktualizacja dowodów lub prowadzenie przeglądów. Całe rozwiązanie assurance case możemy skalować dla dużych organizacji i systemów.
Podsumowanie
Wdrożenie assurance case dla osiągania gotowości do audytów wymaga trochę więcej pracy w początkowym etapie, ale później, w czasie utrzymania, znacznie przyspiesza realizację audytów i sprawia, że sprawniej są realizowane, również z perspektywy organizacji wykazującej zgodność i gotowość do audytów
Andrzej Wardziński
Share your comments