Perspektiv

Ledelsessystemet i praksis hos Auditdata


By on 26/12/2015

Hvordan arbejder man med ledelsessystemer i praksis, når man skal leve op til såvel ISO 27001 som ISO 13485? Læs hvordan danske Auditdata arbejder med ledelsessystemet i forhold til deres versionsstyrede og kontrollerende processer i dagligdagen og søger at holde det enkelt.

steen_schledermann-295x300I sidste uge interviewede jeg Steen Schledermann, QA, Regulatory & IT Director hos Auditdata A/S. Vi talte om hvordan de, som ISO 27001 og ISO 13485 certificeret udvikler af medicinsk udstyr, arbejder med deres ledelsessystem i praksis.

Kort fortalt er Auditdata en international virksomhed i vækst med rundt regnet 60+ ansatte. Auditdata A/S leverer software og diagnostisk udstyr til audiologiske klinikker og hospitaler i både den offentlige og private sektor. Virksomheden har hovedkontor i Danmark, udviklingscenter i Kiev, salgs- og support afdeling i England og outsourced produktion i Sverige.

Arbejdet med versionsstyrede og kontrollerende processer

Steen understregede, at Auditdata bevæger sig i et meget reguleret felt:

“Vi har masser af processer, der skal være versionsstyrede og kontrollerede. De skal være kendte af de mennesker der arbejder med det og være opdaterede. Så vi har rigtigt stort behov for at der er styr på vores dokumentation, vores processer og formidlingen omkring det.”

Steen Schledermann fortæller også, at de bruger to dokumentstyringssystemer i forhold til de to revisioner – ISMS (Information Security Management System) og Aras PLM (Quality Management System). Begge systemer er ledelsessystemer hvor kvalitetssystemet er rettet mod produktudvikling af medicinsk udstyr:

“Der er nogle ganske skrappe krav til hvordan det skal foregå, så processerne er velbeskrevne.”

Ledelsessystemer i praksis

Aras PLM systemet, er et professionelt kvalitetsledelsessystem til dokumenthåndtering. Her anvendes det til at sætte relationer op mellem dokumenter, således de er elektronisk defineret og kan delegeres til de ansvarlige personer. Dokumenter kan også underskrives og godkendes elektronisk.

Steen Schledermann fortæller, at udfordringen for kvalitetssystemer for Medical Devices’ er, at alt skal være veldefineret i en technical file – en bestemt struktur for hvilken slags dokumentation, der skal være for hver release og udgave af et givent system. Desuden skal enhver release af en version være sporbar i 10 år.

“Så det er ret stort database krav der ligger på dette. Derfor bruger vi et relations database-baseret system til at styre den del af det med.”

Virksomheden har førhen haft dokumenter og procesbeskrivelser tilgængelige via SharePoint som en intranet-løsning. Sidste år besluttede de, at anvende Neupart løsningen SecureAware – et Information Security Management system. Steen Schledermann fortæller, at ISO 27001 er en ledelsesstandard, der i høj grad lægger vægt på risikovurdering af virksomhedens assets – en relativ kompleks opgave. SecureAware hjælper til at lave relationer mellem assets og sporbarhed rent risikomæssigt mellem de forskellige komponenter i virksomheden. Han uddyber:

“Det er det der forventes i standarden – at man har dokumenteret overblik over virksomhedens væsentlige informations assets og man kan redegøre for virksomhedens risikobillede ved løbende at lave risikovurdering. Ud fra risikovurderingen laver man en handlingsplan for hvordan man nedbringer de risici, der er identificeret. Det kan blive et relativt komplekst projektlederarbejde at have styr på disse assessments og de ændrer sig løbende. Dette behov understøttes i særlig grad af SecureAware systemet”.

Han fortæller, at ISMS systemet understøtter standardens krav til risiko vurderinger, hvor et universelt katalog af sikkerhedstrusler gør arbejdet med risiko vurderinger let i forhold til brud på konfidentialitet, integritet og tilgængelighed af virksomhedens informations assets.

ISMS systemet redegør for alle sikkerhedspolitikker i virksomheden – lige fra elektronisk til fysisk og personlig sikkerhed. Steen Schledermann fortæller:

“Der er over 110 krav man skal opfylde rent sikkerhedsmæssigt i standarden. Så standarden er ret omfangsrig og på den måde er den voluminøs og kompleks. Meget information skal formidles.”

Systemet har et afsnit for policies dokumenter og compliance, samt et Business Continuity Management modul, der gør det relativt let at beskrive nødprocedurer for tilfælde hvor noget går galt, hvilket også er et krav i forhold til standarden.

Ejerskab

Ledelsessystemerne ejes overordnet af ledelsen, og ansvar for løbende drift og vedligeholdelse er delegeret til kvalitetschefen og informationssikkerhedschefen.

Auditdata afholder desuden kvartalsvise Management Review møder, hvor en agenda gennemgås sammen med ledelsen i forhold til kvalitetssystemer og ISMS systemet. Dermed kan ledelsen holdes orienteret om systemernes og virksomhedens udvikling i forhold til kvalitetssikring og informationssikkerhed.

Aktiv deltagelse i systemet

Jeg spurgte Steen Schledermann om rollefordelingen i deres ledelsessystem. Hertil svarede han, at alle som har en rolle i systemet kan bidrage, der hvor den enkelte har et ejerskab. Han fortæller, at deltagerne i systemet arbejder aktivt med dokumenterne:

”Specielt kvalitetssystemet er et, hvor der sendes dokumenter rundt. Der er en forfatter, en som review’er og én der godkender. På den måde deltager man aktivt og der er et proces-flow som dokumenterne følger”.

Han fortæller videre at deres ISMS system tillader, at der kan sættes ansvarshaver på forskellige afsnit i dokumenter. Systemet har også sporbarhed på versioneringer i forhold til kommentarer og ændringer:

“Så ja, det er samarbejdsværktøjer når vi snakker ledelsessystemer.”

Forbedringer og udvikling i praksis

Jeg spurgte Steen Schledermann, hvordan Auditdata arbejder med forbedringer og ændringer i praksis. Hertil svarede han, at de har en Change Management Process. Denne er defineret af forskellige templates, som de arbejder med i forhold til den type af ændring, som skal foretages.

I øjeblikket bruger de Word Templates. De er lokaliseret på SharePoint, der er base for Change Requests som ikke er produktudviklingsrelateret. Auditdatas kvalitetssystem har ligeledes Change Request indbygget i relation til produktudvikling, hvor aktører kan bidrage og godkende dem.

Steen Schledermann forklarer, at de også benytter samarbejdsværktøjet Microsoft Team Foundation Server til hele deres software udviklingsproces. Da de udvikler og producerer medical devices, er det er krav at dokumentere hele udviklingsprocessen, verifikationer og sporbarhedsrapporter. Han uddyber:

”Så vi har et meget veletableret og automatiseret informationshåndteringssystem i forbindelse med vores softwareudvikling – vi har alt udviklingsdokumentation i dette samarbejdssystem. Så det er dér hvor man eksekverer typiske ændringer til software eller produkterne. De kører igennem specifikke dokumentationsflow, som en central del af det samlede udviklingssystem.”

Alle udviklere, produktchefer, aktører og andre involverede i projektudviklingsprocessen har adgang til systemet, jf. virksomhedens access control policy. Systemet fungerer også som et internt samarbejdsværktøj i virksomheden, da det går på tværs af fysiske lokationer. Steen Scheldermann forklarer:

”Så det er i høj grad et samarbejdssystem og det har vi rigtig meget glæde af, fordi vi netop er decentralt placeret.”

Ledelsessystemet i fremtiden

Jeg spurgte Steen Schledermann hvordan han ser fremtiden for ledelsessystemer. Hans bud er, at en af fremtidens helt afgørende mekanismer er, at der er et Risk-Management system til rådighed for virksomheden. Særligt for virksomheder som Auditdata, der er certificeret på ISO 27001, hvor meget skal dokumenteres.

Han fortæller, at de selv har arbejdet med ideen om at lave et QIMS system – (Quality & Information security Management System). Dermed kan de slå fælles aspekter i deres to ledelsessystemer sammen og optimere arbejdet ved at varetaget flere certificeringer.

Steen Schledermann understregede også, at han tror at en vigtig faktor for ledelsessystemer er, at de holdes enkle:

“Det er ganske overvældende hvad man skal have dokumenteret af procedurer og informationer, når man skal dokumentere disse ledelsessystemer. Man skal virkelig lægge sig i selen for at gøre det så enkelt og simpelt som muligt. Ellers mister folk interessen.”

Han tror på, at brugervenligheden skal være i højsæde – både hvad angår tilgængelighed og læsningen af dokumenter og processer. Noget han allerede selv gør brug af, for at forenkle dokumenter og lede folk ind i konteksten, er visuelle illustrationer og billeder:

”Visuelle illustrationer eller billeder kan man som regel meget bedre huske end to siders tekst. Det er noget der gør det meget lettere at fordøje, når man sidder med mange dokumenter.”

Et andet aspekt han spår for fremtiden er, at ledelsessystemer er tilgængelige via mobile devices, uden det kræver at man logger på en computer og ind i et tungt system. Steen Schledermann afslutter:

“Det er vigtigt at følge trenden i måden medarbejdere lystbetonet tilgår viden på. Som man er vant til med sine private gøremål med apps osv. Det er noget af det, jeg tror er vigtigt.”

Dette var de sidste ord fra Steen Schledermann, QA, Regulatory & IT Director hos Auditdata A/S. Vi vil snart vende tilbage med endnu en case, med et nyt perspektiv.

Måske har du også lyst til at læse...