Zarządzanie jakością
Krakowska kancelaria Budzowska Fiutowski i Partnerzy – Radcowie Prawni certyfikat ISO 9001 ma od 2007 roku. Jest to najbardziej popularny system zarządzania jakością, międzynarodowa norma, której celem jest określenie wymagań, jakie powinien spełniać dany podmiot aby w pełni sprostać wymaganiom swoich klientów, czyniąc to jednocześnie zgodnie z prawem obowiązującym na terenie swego działania. Certyfikaty ISO 9001 zdobywają firmy produkcyjne, budowlane, handlowe i usługowe, także szpitale, szkoły, a nawet urzędy administracji państwowej i samorządowej. Celem normy ISO 9001 jest pozytywna weryfikacja całej organizacji, a później stałe sprawdzanie wyników skuteczności procesów oraz ich ciągłe doskonalenie. Jest to praktyka, która ma sprzyjać odbiorcy produktu lub usługi i sprawiać, że w jego ręce trafi wytwór spełniający jego oczekiwania i wymagania.
Jak mówi Benedykt Fiutowski, wspólnik zarządzający kancelarii, większość polskich firm prawniczych działa na rynku stosunkowo krótko. – Jeśli nie ma się za sobą setek czy dziesiątek lat tradycji, to często brakuje też wypracowanych przez pokolenia standardów działania. Trzeba się tego uczyć, nieraz na błędach, ale można też zastosować uniwersalne, przetestowane już procedury – dodaje. Dlatego właśnie jego kancelaria zdecydowała się na wdrożenie systemu ISO. – Procedury mające porządkować naszą pracę, zapewniać sprawną obsługę klientów, stosowaliśmy zawsze. ISO je tylko nazwało i opisało. Niczego nowego nie musieliśmy wprowadzać – mówi mec. Fiutowski. Podkreśla jednak, że samo uznanie, że „my i tak to robimy” nie wystarczy, bowiem taki intuicyjny system może mieć luki, o czymś można zwyczajnie zapomnieć.
Bezpieczeństwo informacji
System ISO 9001 to dla kancelarii Budzowska Fiutowski i Partnerzy podstawa dobrej organizacji. Teraz wdrażają normę ISO 27001, która ma do tego dodać najwyższe standardy w zakresie bezpieczeństwa. Jest to norma systemu zarządzania bezpieczeństwem informacji, która obejmuje jedenaście obszarów, które bezpośrednio wpływają na bezpieczeństwo informacji w danej organizacji. Stosowany jest w niej etapowy wzorzec: planuj, wykonaj, sprawdź, działaj. Poza zdefiniowaniem modelu zarządzania bezpieczeństwem informacji norma ISO 27001 przewiduje także opis zabezpieczeń, które należy stosować w celu ograniczenia ryzyka. Cały system zmierza do „uszczelnienia” organizacji, tak by żadna informacja (szczególnie tajna lub poufna) nie dostała się w niepowołane ręce, a jednocześnie ma zabezpieczać dostęp do informacji osobom uprawnionym, tak by były one dostępne w komplecie w odpowiednim czasie.
Wrocław był pierwszy
Wrocławska Kancelaria Radców Prawnych i Adwokatów CWW S. Cetera, M. Węgrzyn–Wysocka i Wspólnicy jako pierwsza w Polsce kancelaria spełniła wymagania związane z systemem zarządzania bezpieczeństwem informacji. Kancelaria wdrożyła systemy jakościowe ISO 9001:2008 oraz systemy bezpieczeństwa informacji ISO 27001:2007. W 2008 roku zostały przygotowane procedury oparte o zasady i normy ISO a w lipcu 2009 roku pomyślnie zakończył się proces certyfikacji i kancelaria uzyskała rekomendację do otrzymania obu certyfikatów. W dniu 30 sierpnia 2009 roku kancelaria CWW otrzymała certyfikat ISO 9001, a dwa tygodnie później, 18 września 2009 roku certyfikat ISO 27001. - Nie chodziło nam tylko o papier do powieszenia na ścianie. Praca prawnika bazuje przede wszystkim na informacji, a bezpieczeństwo jej obiegu to dla kancelarii jeden z kluczowych problemów – mówi Sylwester Cetera, wspólnik zarządzający kancelarią.
- To nie jest łatwa do wdrożenia norma – mówił w wywiadzie prasowym Jacek Kowalczyk, wtedy dyrektor zarządzający kancelarii, zaangażowany w prace związane z wdrażaniem normy. – Proces jej wdrożenia jest skomplikowany i czasochłonny. Trzeba go podzielić na takie etapy, jak analiza stosowanych w kancelarii procedur, dostosowywanie ich do normy, potem wdrożyć do praktyki i dopiero wtedy można przystępować do certyfikacji – podkreślał.
Najpierw analiza ryzyk
Proces wdrażania certyfikatu ISO 27001 wymaga przede wszystkim gruntownej analizy wszelkiego rodzaju ryzyk, jakie mogą wystąpić w pracy kancelarii. Na tej podstawie przygotowywany jest plan postępowania w odniesieniu do tego ryzyka. W przypadku informacji chodzi o to, by była ona dobrze zabezpieczona przed dostępem osób nieuprawnionych. – Ważnym elementem jest takie przygotowanie procedur, aby wszystkie były ze sobą spójne i wzajemnie się nie wykluczały. Ponadto trzeba pamiętać, że procedury mają zabezpieczać kancelarię, ale nie mogą utrudniać jej normalnego funkcjonowania – dodaje Jacek Kowalczyk.
Procedurę IS0 9001 i 27001 ma też od jesieni ubiegłego roku gdańska kancelaria Domański i Wspólnicy. - Wdrożyliśmy obie normy jednocześnie, ponieważ one razem stanowią zintegrowany system. ISO 9001 to jest podstawa, a 27001 to „nakładka” na ten pierwszy – mówi Krzysztof Kuczyński, partner w tej kancelarii, który także podkreśla, że jest to pracochłonna operacja. – Przede wszystkim dlatego, że nie ma w tej dziedzinie jednego rozwiązania dla wszystkich firm. Niezależnie od branży, procedury muszą być dostosowane do działalności konkretnego przedsiębiorstwa. W przypadku kancelarii oznacza to konieczność ich dostosowania nie tylko do specyfiki usług prawnych, ale także do konkretnej kancelarii – dodaje mec. Kuczyński. Jego zdaniem zespół wdrażający ISO musi dobrze poznać firmę, zrozumieć zachodzące w niej procesy, poszukać słabych punktów, a następnie to opisać w odpowiednich dokumentach. - Tę pracę kancelaria może w pewnym stopniu wykonać we własnym zakresie, ale w praktyce lepiej zwrócić się z tym do wyspecjalizowanej firmy – mówi Joanna Bębenek–Lazer z centrali Consortio LEX. Potwierdza to Krzysztof Kuczyński, który mówi, że rolą firmy doradczej jest przygotowanie „szablonu” do opisu procedur, ustalenie jakie dokumenty są potrzebne, jaka powinna być ich struktura. Podkreśla także, ze przygotowanie i opracowanie takiej dokumentacji to ogrom pracy, który w jego kancelarii angażował przez pewien czas 2 – 3 osoby.
Trochę sami, resztę doradcy
Agnieszka Suchecka, wspólnik w poznańskiej kancelarii radców prawnych Budkiewicz, Musiał, Suchecka i Partnerzy, która właśnie przygotowuje się do wdrożenia norm ISO, to ma nawet trochę za złe firmie doradczej, że zbyt dużą częścią pracy obarcza ona kancelarię. – Liczyliśmy na to, że taka wyspecjalizowana firma to ma wszystko przygotowane, że tylko wystarczy w te szablony wpisać nasze konkretne mechanizmy. A tymczasem doradcy ciągle od nas czegoś chcą, zadają mnóstwo pytań – mówi. Jednak Maciej Skała, szef firmy PBSG, która przygotowuje kancelarie z sieci Consortio LEX do wdrożenia norm ISO twierdzi, że inaczej się nie da. – Doradca nie jest w stanie tego zrobić w 100 procentach. Może na przykład opracować metodologię oceny ryzyka, ale to tylko pracownicy konkretnej kancelarii mogą ocenić, w jakim stopniu dane ryzyko występuje w ich pracy – mówi prezes Skała. Jego zdaniem aktywne włączenie się pracowników firmy w przygotowywanie procedur ma także kapitalne znaczenie z punktu widzenia ich późniejszego stosowania. – Tu trzeba pamiętać o zasadzie „papier wszystko przyjmie”. Gdybyśmy przygotowali za kancelarię wszystkie dokumenty, to jej pracownicy mogliby nie wszystko z nich rozumieć, coś mogłoby być nieadekwatne do działalności firmy, co w konsekwencji mogłoby skutkować tym, że byłaby to procedura martwa – podkreśla Maciej Skała.
Mec. Agnieszka Suchecka uznaje te argumenty. – Nie wdrażamy ISO tylko dlatego, że to jest wymóg sieci, do której należymy. Chcemy, żeby te normy działały, żeby chroniły nas przed zagrożeniami i dlatego konsekwentnie angażujemy się w ten proces – mówi. Jej zdaniem najtrudniejsze jest dla prawników zrozumienie zasad, według których konstruowane są te normy. Szczególnie w odniesieniu do dwóch najważniejszych dla kancelarii spraw, czyli obsługi klienta i obiegu dokumentów. – Spodziewamy się, że dzięki wdrożeniu tych procedur będziemy mieli bardziej czytelny obieg informacji o kliencie i jego sprawie, lepszy nadzór merytoryczny nad procesem świadczenia usługi, a także pewność, że to wszystko jest należycie zabezpieczone.
Korzyści dla klienta
Właśnie bezpieczeństwo dla klienta wymieniane jest jako jedna z kluczowych korzyści wynikających z wdrożenia ISO, a szczególnie normy 27001. – Posiadanie takiego certyfikatu jest gwarancją, że w kancelarii obowiązują najwyższe standardy dbałości o materiały i różnego typu informacje otrzymane od klientów - mówi Benedykt Fiutowski. I dodaje, że kancelaria bardzo często dostaje od firm lub osób różnego typu „wrażliwe” dane. - W przypadku procesu sądowego ważną tajemnicą jest przyjęta strategia, gdy firma kupuje teren z jakimś złożem, to musi mieć pewność, że od nas nie wyjdzie informacja o jego szacowanej wartości, a gdy przygotowujemy transakcję sprzedaży przedsiębiorstwa, to wiemy o nim praktycznie wszystko – dodaje mec. Fiutowski. Dlatego podkreśla wagę zabezpieczeń dotyczących informacji, a szczególnie dokumentów, jakie posiada kancelaria. Także Sylwester Cetera podkreśla, że posiadanie certyfikatu bezpieczeństwa ma duże znaczenie dla relacji z klientami. - ISO 9001 ma znaczenie wewnętrzne, pomaga lepiej organizować pracę w kancelarii, natomiast certyfikat 27001 do świadectwo, że według najwyższych standardów postępujemy z informacjami, jakie otrzymujemy od klientów. „Chwalimy się” tym certyfikatem i widzę, że to działa, jest doceniane szczególnie przez firmy, które same mają certyfikaty ISO – mówi mec. Cetera.
Od portiera do obiegu informacji
Przygotowanie firmy do wdrożenia norm bezpieczeństwa zaczyna się do prostych rzeczy. Od zabezpieczenia dokumentów, by nie były dostępne dla osób postronnych, od zakazu zapisywania czegokolwiek na pulpicie komputera, potem jest odpowiednie archiwizowanie, codzienne przenoszenie danych na zapasowe nośniki itp. To musi być tak zabezpieczone, by dane nie padły ofiarą hakera, ale także by nie uległy zniszczeniu w przypadku awarii.
- Naszą pracę zaczynamy zwykle od oceny tych właśnie podstawowych zagrożeń – czy biuro jest dobrze chronione, czy dokumenty nie leżą w miejscu dostępnym dla interesantów, jaki jest system łączności – mówi Maciej Skała. A Joanna Bębenek-Lazer dodaje, że niektóre skutki takiej pracy to dość szybko widać. Gdy kiedyś wchodziła do budynku, w którym mieści się wrocławska kancelaria CWW, to portier nie pytał jej o nazwisko. Po wdrożeniu przez kancelarię normy ISO 27001, żąda przedstawienia się i sprawdza, czy wchodząca osoba jest rzeczywiście umówiona. Inna anegdota opowiada o tym, jak pozytywnie została odebrana przez przedstawiciela firmy certyfikującej prośba sekretarki o odwrócenie przez niego głowy, gdy ona będzie wpisywać do komputera hasło dostępu. – Od takich drobiazgów zaczyna się budowa systemu bezpieczeństwa w firmie – mówi Maciej Skała. – Dopiero potem są szczegółowe procedury postępowania z dokumentami, zasady komunikowania się wewnątrz kancelarii oraz z klientami i innymi podmiotami zewnętrznymi – dodaje mec. Agnieszka Suchecka.
Procedury trzeba wdrożyć
Po przygotowaniu odpowiednich procedur należy je wdrożyć. Wszyscy uczestniczący w tym procesie zgodnie przyznają, ze jest to najtrudniejszy moment ze względu na fakt, iż aby były one efektywne, muszą być zrozumiane i respektowane przez wszystkich uczestników systemu. - Właśnie w tym okresie duży nacisk trzeba położyć na szkolenia i treningi – mówi Krzysztof Kuczyński. – Trzeba w to włączyć wszystkich pracowników i poświęcić na wdrożenie systemu jakieś 2 – 3 miesiące – dodaje. I podkreśla, że nie można w tej dziedzinie dzielić pracowników na tych, którzy system nadzorują i tych, którzy mają go stosować. – Jeśli wprowadzenie takiej procedury ma przynieść kancelarii efekty, trzeba w jej przygotowanie i potem przestrzeganie zaangażować wszystkich – podkreśla mec. Kuczyński.
Na końcu certyfikacja
Na powszechne zaangażowanie w przestrzeganie wszystkich procedur zwracają też bardzo uwagę firmy certyfikujące wprowadzone w kancelariach systemy. Ich zadaniem jest sprawdzenie, czy niezbędne dokumenty zostały przygotowane prawidłowo, ale szczególnie czy opisane w nich zasady są przestrzegane. Jak mówi Zenon Wawrowski z firmy certyfikującej TUV Nord Polska, ten etap zaczyna się od solidnego sprawdzenia dokumentacji. Czy wszystkie procesy zachodzące w firmie zostały właściwie opisane, czy są one skorelowane z normą oraz czy na tej bazie opracowano instrukcje działania. Gdy na tym etapie wszystko jest zgodnie z zasadami, przychodzi czas na praktyczną weryfikację procedur. Wtedy audytorzy szczegółowo sprawdzają, czy są one przestrzegane w codziennej praktyce. Jeśli tak, firma może otrzymać certyfikat. Nie na zawsze jednak. Raz do roku musi być przeprowadzony tzw. audyt nadzorczy, podczas którego sprawdza się, czy przyjęte zasady nie zostały „odłożone na półkę”. Solidniejsze i bardziej szczegółowe sprawdzanie tego wszystkiego ma miejsce po trzech latach, kiedy to musi być przeprowadzona recertyfikacja, czyli odnowienie certyfikatu. - Wtedy też jest okazja do wprowadzenia zmian w opisach procedur i instrukcjach, gdy np. coś zmieni się w działalności firmy, albo – jak obecnie – zmodyfikowana zostanie norma – mówi Zenon Wawrowski.
Wszyscy prawnicy uczestniczący w procesie certyfikacji ich kancelarii zwracają uwagę na wysiłek, jaki trzeba włożyć w osiągnięcie tego celu. Twierdzą jednak, że warto się w to zaangażować. - Praca i pieniądze wydane na przygotowanie i wdrożenie procedur przynoszą firmie efekty - mówi Benedykt Fiutowski. Gdy klient wie, że kancelaria, z której usług chce on skorzystać, posiada normę ISO i odnawia ją systematycznie, to ma również świadomość, że ma do czynienia z wiarygodnym partnerem – mówi.
Artykuł pochodzi z miesięcznika "Kancelaria" nr 3/2010.