Hỏi Đáp về Tiêu chuẩn TISAX- Hệ thống trao đổi đánh giá bảo mật thông tin & Các hoạt động đánh giá nội bộ theo IATF 16949
Nov. 7 2022
Nhằm hỗ trợ Quý khách hàng trong việc hiểu đúng và vận hành các hoạt động liên quan đến Tiêu chuẩn TISAX và các hoạt động đánh giá nội bộ theo IATF 16949, Bureau Veritas gửi đến Quý khách hàng các thắc mắc thường gặp và Giải đáp của Chuyên gia
Câu hỏi 1: Doanh nghiệp triển khai tiêu chuẩn IATF 16949 thì có bắt buộc phải có chứng chỉ tiêu chuẩn ISO 27001/ TISAX không?
Trả lời: Doanh nghiệp triển khai IATF không bắt buộc phải có chứng chỉ ISO 27001/TISAX, tuy nhiên nếu doanh nghiệp triển khai IATF mà có cả chứng chỉ ISO 27001/TISAX thì hệ thống thông tin và tài liệu của doanh nghiệp sẽ được bảo mật 1 cách tốt hơn.
Câu hỏi 2: Các tình huống khẩn cấp có bắt buộc phải diễn tập hàng năm không?
Trả lời: Doanh nghiệp cần dựa trên việc đánh giá rủi ro để xác định tần suất. Với rủi ro cao thì tần xuất diễn tập cần nhiều hơn ngược lại với các rủi ro thấp thì tần suất diễn tập ít hơn. Cần diễn tập định kỳ hàng năm hay không sẽ do quy định của doanh nghiệp, tiêu chuẩn không có quy định hàng năm phải diễn tập tình huống khẩn cấp mà chỉ có yêu cầu cần diễn tập định kỳ, có thể là 1 năm/lần hoặc 2 năm/lần.
Câu hỏi 3: Làm sao để doanh nghiệp xác định đầy đủ các tình huống khẩn cấp theo tiêu chuẩn IATF?
Trả lời: Trong tiêu chuẩn IATF có yêu cầu rõ 9 tình huống khẩn cấp tại điều ĐK 6.1.2.3 (vui lòng tham khảo thêm).
Câu hỏi 4: Cách thức định lượng thời gian đánh giá cho từng quá trình?
Trả lời: Không có cách thức cố định để định lượng thời gian đánh giá đủ cho từng quá trình. Để xác định thời gian đánh giá đủ cho 1 quá trình doanh nghiệp cần dựa trên: quy mô của quá trình đó và các điều khoản quá trình đó phải áp dụng để đưa ra thời gian đánh giá phù hợp, hiệu quả.
Câu hỏi 5: Cách xác định đúng, đủ các điều khoản khi lập kế hoạch đánh gía nội bộ cho từng quá trình?
Trả lời: Doanh nghiệp cần xác định ma trận đánh giá, cụ thể là xác định chi tiết các điều khoản ứng với từng quá trình
Câu hỏi 6: Với nội dung điều khoản về lập kế hoạch đánh giá nội bộ trong tiêu chuẩn IATF theo chu kỳ 3 năm nhưng công ty xác định chu kỳ đánh giá bộ bộ 3 năm không mang lại hiệu quả và thực hiện kế hoạch đánh giá nội bộ 1 năm rà soát tất cả các quá trình của hệ thống thì có phù hợp không?
Trả lời: Việc đánh giá nội bộ toàn bộ các quá trình theo kỳ 1 năm/ lần hay 3 năm/ lần do doanh nghiệp quyết định. Doanh nghiệp cần lý giải được tại sao doanh nghiệp lại thực hiện đánh giá nội bộ 1 năm/lần cho tất cả các quá trình, các tiêu chí nào được đưa ra để thực hiện. Doanh nghiệp nên cân nhắc việc tập trung nguồn lực vào các quá trình yếu để đảm bảo hiệu quả của quá trình đánh giá nội bộ, tránh đánh giá dàn trải dẫn đến kết quả đánh giá không được như kỳ vọng, gây lãng phí nguồn lực
Câu hỏi 7: Tiêu chí để đánh giá lỗi lớn, lỗi nhỏ, khiến nghị cải tiến trong ĐGNB như nào?và tài liệu nào quy định?
Trả lời: Trong tiêu chuẩn IATF 16949 và tiêu chuẩn ISO 9001 không có tiêu chí nào quy định lỗi lớn, lỗi nhỏ, khiến nghị cải tiến trong ĐGNB. Đối với tiêu chuẩn IATF chỉ có tiêu chí liên quan việc phân loại lỗi lớn, lỗi nhỏ cho cuộc đánh giá bên thứ 3. Các lỗi lớn thường là lỗi mang tính hệ thống, lỗi lớn có thể là lỗi liên quan đến khả năng xuất nhầm hàng lỗi cho khách hàng, lỗi lớn có thể là lỗi làm giảm khả năng kiểm soát quá trình…Ngoài việc phát hiện các điểm không phù hợp, chúng ta có thể dựa vào các câu hỏi cụ thể trong Rule 5-áp dụng cho bên đánh giá thứ 3, tuy nhiên với hoạt động đánh giá nội bộ, doanh nghiệp có thể xem xét thực hiện theo Rule 5 hay không là tùy thuộc từng doanh nghiệp, việc phân loại lỗi lớn, lỗi nhỏ do công ty quy định, khiến nghị cải tiến phải phù hợp với yêu cầu của tiêu chuẩn.
Câu hỏi 8: Hiện nay, doanh nghiệp tôi đang cung cấp nguyên vật liệu thô cho các ngành hàng linh kiện ô tô, xin cho biết doanh nghiệp tôi có cần áp dụng theo tiêu chuẩn IATF không?
Trả lời: Tiêu chuẩn IATF áp dụng cho tất cả các chuỗi cung ứng linh kiện, nguyên vật liệu ngành sản xuất linh kiện ô tô kể cả nguyên vật liệu thô. Vậy nên doanh nghiệp nên áp dụng theo tiêu chuẩn IATF để đảm bảo yêu cầu của các OEM ( nhà sản xuất thiết bị gốc), ví dụ như doanh nghiệp sản xuất hạt nhựa, doanh nghiệp sản xuất hóa chất cung cấp cho các OEM vẫn cần triển khai tiêu chuẩn IATF.
Câu hỏi 9: Vui lòng chia sẻ bảng tiêu chí lựa chọn đánh giá viên nội bộ, các chứng chỉ, thời gian tham gia đánh giá dự thính?
Trả lời: Tiêu chuẩn yêu cầu rất rõ phải duy trì năng lực của đánh giá viên nội bộ (chi tiết xem tại ĐK 7.2.3) bằng cách quy định số cuộc đánh giá tối thiểu hàng năm, với các thay đổi của tiêu chuẩn, đánh giá viên nội bộ cần được đào tạo hoặc làm thế nào các đánh giá viên nội bộ hiểu được các yêu cầu mới. Với các chuyên gia đủ điều kiện về việc duy trì năng lực đánh giá và được đào tạo cập nhật các yêu cầu mới, doanh nghiệp cần lập danh sách chuyên gia đánh giá nội bộ ( theo yêu cầu tiêu chuẩn IATF) và sắp xếp các chuyên gia trong danh sách thực hiện việc đánh giá
Câu hỏi 10: Em thấy kế hoạch đánh giá của Thầy có đề cập tới Yêu cầu dành riêng cho khách hàng (CSR). Đây có phải là hạng mục mà IATF yêu cầu không ạ?
Trả lời: Tiêu chuẩn IATF yêu cầu rất rõ việc đánh giá bắt buộc cần thực hiện bốc mốc yêu cầu riêng của khách hàng. Yêu cầu riêng của khách hàng được đề cập rất rõ trong từng điều khoản của tiêu chuẩn IATF, doanh nghiệp cần xem xét khi thực hiện lập kế hoạch đánh giá
Câu hỏi 11: Việc đánh giá nội bộ của tiêu chuẩn ISO 9001 và IATF 16949 có thể gộp chung trong 1 lần được không? Cách thức thực hiện đánh giá nội bộ cho 2 tiêu chuẩn này có điểm nào khác nhau cần chú ý không?
Trả lời: Tiêu chuẩn ISO 9001 là 1 phần của tiêu chuẩn IATF 16949, khi doanh nghiệp áp dụng tiêu chuẩn IATF 16949 thì đã bao hàm tiêu chuẩn ISO 9001 nên khi doanh nghiệp đánh giá IATF tức là đã đánh giá ISO 9001. Với 1 doanh nghiệp áp dụng IATF và 1 doanh nghiệp chỉ áp dụng ISO 9001 thì có thể khác nhau về năng lực chuyên gia đánh giá nội bộ. Với tiêu chuẩn IATF quy định rất rõ về năng lực chuyên gia đánh giá nội bộ và việc đánh giá phải tiếp cận theo quá trình, còn với tiêu chuẩn ISO 9001 không yêu cầu rõ ràng.
Câu hỏi 12: Vui lòng chia sẻ lại phần đánh giá theo 3 Level của tiêu chuẩn TISAX?
Trả lời: 3 Level của tiêu chuẩn TISAX là:
- Assesment level 1 (AL1) là đánh giá nội bộ, nội bộ doanh nghiệp điền vào form checklist của VDA ISA dưới sự hỗ trợ của tổ chức chứng nhận BVC
- Assesment level 2 (AL2) là đánh giá tài liệu, thông thường là đánh giá Remote online sơ bộ về hồ sơ tài liệu doanh nghiệp giao nộp
- Assesment level 3 (AL3) là cuộc đánh giá onsite chính thức, chuyên gia có đủ thời gian đến nhà máy kiểm tra các bằng chứng doanh nghiệp thực hiện hệ thống đảm bảo an ninh thông tin
Thông thường, Tổ chức chứng nhận sẽ hỗ trợ doanh nghiệp khi doanh nghiệp đi đến mức AL3