ISO-standarder og sertifiseringer: begrep og ulike typer ISO-standarder og sertifiseringer;
Optimalisering av bedriftsprosesser: hvordan bedrifter kan forbedre og optimalisere prosessene sine ved å bruke ISO-retningslinjer eller gjennomføre sertifisering;
Forskjellen mellom sertifisering og akkreditering: sertifisering er frivillig og utføres av en uavhengig tredjepart, mens akkreditering er en intern prosess som bekrefter påliteligheten og kompetansen til sertifisører;
ISO-standarder som dobbeltverktøy: hvordan ISO-standarder fungerer som et dobbeltverktøy, både for prosesseffektivisering og markedsføring, og hvordan de kan påvirke både interne prosesser og eksterne oppfatninger;
ISO og åpenhetslov: ISO i forbindelse med åpenhetsloven.
Del denne Casen
En LØRN CASE er en kort og praktisk, lett og morsom, innovasjonshistorie. Den er fortalt på 30 minutter, er samtalebasert, og virker like bra som podkast, video eller tekst. Lytt og lær der det passer deg best! Vi dekker 15 tematiske områder om teknologi, innovasjon og ledelse, og 10 perspektiver som gründer, forsker etc. På denne siden kan du lytte, se eller lese gratis, men vi anbefaler deg å registrere deg, slik at vi kan lage personaliserte læringsstier for nettopp deg.
Vi vil gjerne hjelpe deg komme i gang og fortsette å drive med livslang læring.
En LØRN CASE er en kort og praktisk, lett og morsom, innovasjonshistorie. Den er fortalt på 30 minutter, er samtalebasert, og virker like bra som podkast, video eller tekst. Lytt og lær der det passer deg best! Vi dekker 15 tematiske områder om teknologi, innovasjon og ledelse, og 10 perspektiver som gründer, forsker etc. På denne siden kan du lytte, se eller lese gratis, men vi anbefaler deg å registrere deg, slik at vi kan lage personaliserte læringsstier for nettopp deg. Vi vil gjerne hjelpe deg komme i gang og fortsette å drive med livslang læring.
Flere caser i samme tema
More Cases in the same topic
Judith Rossebø
Cyber Security Specialist
ABB
Hei og velkommen til Lørn, 1500 læringshistorier fra de beste fremtidstenkere og skaperne. På lorn.tech kan du lytte, se eller lese alt innhold gratis, men registrer deg for å få tilgang til personaliserte læringsstier, sertifikater og mye mer.
Silvija Seres: Hei og velkommen til Lørn-serien med BI om compliance. Vi i Lørn skal i samtaler med Miloš Novović fra BI og flere gjester diskutere de viktigste driverne for compliance og GDPR. Velkommen også til dere. Dette er en litt spennende samtale, spesielt for meg som ekspertgjest. I dag har vi vår egen Lin Hammer fra Lørn og så har vi da professor Miloš Novović fra BI, som ferier samme sted som meg sånn noge lunde. Så masse koblinger her.
Miloš Novović: Spoileralert, det blir Montenegro og teknisk sett, første av noen siste ikke professor, må skrive egentlig fryktelig mye mer. Jeg er kjempemotivert, men det tar masse tid.
Silvija: Vi må jobbe litt med ChatGPT, Miloš. Dere to velkommen, vi pleier alltid å begynne disse samtalene våre med å få høre litt om gjestene. Vi har lært at både studenter på BI, men også alle de andre virtuelle studenter, lærer bedre av folk de føler at de kjenner litt. Hvem er dere? Si noe litt privat om dere selv, personlig kanskje. Vi starter med Lin denne gangen. Lin, hvem er du?
Lin Hammer: Det var et stort spørsmål. Jeg heter Lin Hammer, og som du sier så jobber vi sammen i Lørn. Jeg har ansvar for all produksjon i Lørn. Privat er jeg veldig glad i å holde på ute, enten i hagen, på sykkelen eller i en kajakk. Da føler jeg at jeg får luftet hodet og beveget meg, så det er kjempedeilig.
Silvija: Veldig bra. Miloš, studentene dine kjenner deg, men det er en stor verden der ute som lurer på hvem er denne kjekke duden fra Montenegro.
Miloš: Absolutt. Jeg heter Miloš Novović, kommer fra Montenegro, har egentlig bodd i Norge siden 2013. Har skrevet en doktorgrad ved Universitetet i Oslo, har jobbet litt i det vanlige arbeidslivet, og har startet på BI i 2019. Jeg var såpass lei av å undervise, jeg tror det var tre måneder før korona. Jeg har jobbet veldig mye med juss teknologi, og har undervist i GDPR, digital compliance, legal tech, og har jobbet med litt klassisk juss international commercial. Når det gjelder privatlivet så er det helt motsatt. Jeg er veldig nerdy, også liker jeg alt som har med datamaskiner og teknologi. Spille spill og den type ting. Så det er ikke veldig mye sport. Det er motsatt.
Silvija: Veldig bra for jussen, at de får en geek-interessert, jurist mangler vi. Også tror jeg du blir bitt av basillen her i Norge, du har bare ikke vært her lenge nok. Til slutt blir du fisket ut på ski. Vi skulle snakke om ISO-standarder og Lin du har en lang bakgrunn. Du er litt profesjonelt skadet fra din bakgrunn i DNV, en av verdens beste standardisering og assurance-organisasjoner. Miloš, du og jeg har pratet tidligere om just og teknologi, relatert spesielt til GDPR. Jeg synes det var veldig spennende, for du har en veldig pragmatisk inngang til hvorfor jus, hvorfor sertifisering, hvorfor i denne nye verden hvor alt drives av data. Da har jeg egentlig lyst til å starte med Lin først. Alle har hørt om ISO-standarder, de fleste er litt som meg, at man blir litt blank i øynene når man hører disse store tallene, så sier folk at jeg har blitt ISO-standardisert, og så sier jeg så bra, så skjønner jeg ikke helt greia. Hva er greia med ISO-standarder, og hva har de med sikkerhet til å gjøre?
Lin: Det er et godt spørsmål, og det er veldig morsomt at du spør på den måten. For da jeg begynte i DNV for nesten 12 år siden, ble jeg spurt på intervjuet, vet du hva systemsertifisering er for noe? Da måtte jeg være ærlig og si at nei, det vet jeg faktisk ikke. Men så gikk det ti år, hvor jeg har bygget opp en kursavdeling for sertifiseringsenhet til DNV, og også et ansvar for personen sertifisering. Da følte jeg at det blir litt geeky å tilnærme seg dette. Men ja, hva er en ISO-standard? Det er rett og slett en måte å jobbe på, som gjør at virksomheter kan jobbe på samme måte. Noen ganger brukes ISO-standardene for å sette en retning og si at hvis du vil jobbe med kvalitet så bør du følge disse retningslinjene. Andre ganger er det veldig spesifikt, hvis du vil lage en risikovurdering, så har vi laget en standard som er så firkantet og hvis du følger alle de stegene i den, så har du gjort en risikovurdering på lik linje med andre, og du kan si noe om hvor bra eller dårlig resultatet blir. ISO står for International Standard Organization. Det er en global organisasjon som utvikler standarder, den har 168 medlemsland, og det er en frivillig organisasjon. Det er også frivillig å sertifisere seg etter standarder, som vi skal komme tilbake til. Men ISO både i hovedsetet i Sveits og her i Norge, hvor det er standarden Norge som tar vare på standardene, de utvikler og vedlikeholder standarder hele tiden. Det er alltid en standard på gang under utvikling, eller at noen har en idé om at de vil ha en standard, da kan de foreslå det inn til for eksempel norsk standard.
Silvija: Disse systemstandardene kan være om mye rart. De kan være blant annet om bærekraft, og de kan være også om sikkerhet. Hvordan kan man sertifisere seg når det gjelder sikkerhet for eksempel?
Lin: Noen standarder er det vi kaller sertifiserebare, så du kan faktisk sertifisere deg etter dem. Andre standarder er mer en retningslinje. Så hvis vi tar informasjonssikkerhet, altså standarden for informasjonssikkerhet, så er det en standard som man kan sertifisere seg etter. Det vil si at man må vise at man har bygd opp prosesser og systemer i bedriften som tar vare på de målene man har satt for hvordan man skal jobbe med informasjonssikkerhet. Enten hvis det skal sertifiseres, så må noen komme inn, en tredjepart må komme inn og si at de har prosesser og systemer som følger det som standarden sier. Da gjør sertifiseringsorganet en ganske grundig jobb. De både er inne og kjekker i systemene, prosedyrene og opplærings materielle, sjekker data og så videre. Er dette i tråd med det standarden sier, så intervjuer de ansatte og lederne for å sikre om teorien stemmer med virkeligheten. Hvis disse to er en match, altså teori og virkelighet stemmer med det som er standards krav, da kan man sette et stempel på det, og si at nå har DNV, Kiva eller andre som er akkrediterte sertifiseringsorganer vært inne og sagt at dette selskapet følger denne standarden.
Silvija: Hvis jeg forstår det veldig med legospråk, så dreier det seg om å beskrive en prosess på et tilstrekkelig presisjonsnivå og vise at man etterlever den prosessen. Da kan man få standarden.
Lin: Da kan man få sertifiseringen.
Silvija: Sertifiseringen mener jeg. Dette er selvfølgelig kjempeviktig også i forhold til sikkerhets set-upen sin, men også når man skal rapportere på forskjellige ting rundt compliance på bærekraft, både åpenhetsloven og diverse miljøutslipp, at man kan bevise at man er strukturert, både i teorien og i praksis. Er det ikke omtrent sånn du tenker på det, Miloš?
Miloš: Jeg er helt enig. Når vi ser på reglene, la oss bruke deg som et eksempel. Når vi ser på kravene som vi har, så er de veldig abstrakte. Man må sikre at personopplysninger behandles på en sikker måte, at man har vurdert risiko. Det er på en måte that's it. Det er mange, både store og små selskap, som kan se på disse standardene og tenke, her er det noe som er litt mer konkret. De som kanskje ikke blir sertifisert, som ikke går gjennom den prosessen, kan også se på disse standardene for å bli litt inspirert, eller vite hvordan de skal strukturere sitt arbeid. Den andre delen er samarbeidet med tredje partier. Når jeg skal finne ut hvem jeg skal bruke i dag for å lage videoen, eller for å streame, så er det viktig å finne ut om de tilbyr tilstrekkelig sikkerhet. Da er det den enkleste måten for å ha noen standarder for å kunne vise at dere ikke trenger å komme hit og sjekke alt, og dere trenger ikke å gå gjennom den prosessen fordi vi allerede er sertifisert.
Lin: Dette er det mange som tenker gjennom, er det nødvendig å gå gjennom en hel sertifiseringsprosess for å vise at vi følger en standard eller en arbeidsmetode? Eller holder det at vi for eksempel viser det fram i årsrapporten vår? Når man følger en standard må man gjøre noe som kalles interne revisjoner. Man må internt sørge for at man rapporterer på det man gjør, det gjør man i et selskap. Man rapporterer på alle prosessene sine sånn at man kan lage en årsrapport. Noen kan da si i en årsrapport at de følger standarden for sånn eller sånn, uten at de sier at de er sertifisert. Men da må de klare å dokumentere det hvis noen spør.
Silvija: Vi skal anvende dette i retning sikkerhet. Det er både informasjonssikkerhet, men det kan også være arbeidsmetodikk, miljø, masse forskjellig. Miloš, hvordan relaterer denne standardiseringen til tematikken rundt sikkerhet? Hva ønsker du at man skal koble her?
Miloš: Det er litt som at når man hører ISO-standarder så tenker man at dette er et kvalitetsstempel, at man vet at noen jobber ikke så ordentlig og det har en effekt at man tenker at nå vet jeg at alt går greit når det gjelder denne organisasjonen. Så vil jeg ta en prat om det og høre om dere holder det å si at man er ISO-sertifisert, man trenger ikke tenke på sikkerhet. For det andre tenker jeg at når det gjelder det store bildet så ser vi at det er mye som skjer når det gjelder cybersikkerhet og vanlig sikkerhet. Det som jeg sa først, er at ISO kan hjelpe oss standardisere og konkretisere. Jeg er veldig nysgjerrig fordi jeg ikke har jobbet med ISO i seg selv. Om det kan være konkret nok eller om det blir bare en tilleggs...
Silvija: Tekk boxing?
Miloš: Ja, ikke sant.
Lin: Det er det som er så fint med ISO-standarder at de både kan være veldig vie og breie. For eksempel i forhold til ledelsessystemer på arbeidsmiljø, hvor man sier at du må ha visse prosesser for å sikre at målene du har satt deg kommer i mål. Så har du standarder som er helt nedi personvern for smarte byer. Da er vi nede på så konkrete nivåer at det blir veldig detaljert. Så detaljert at ISO-standardene eller ISO-organisasjonene, sånn som norsk standard, gir ut veiledere for hvordan du skal tolke standardene. Så det kan bli veldig, veldig konkret og veldig, veldig detaljert. Det skal også sies at hvis du har fått sertifisert noe eller du møter en sertifisert person eller et sertifisert produkt, så kan du ha en ganske trygghet på at de følger den standarden de er sertifisert etter. Så er det slik at sertifiseringen på et eller annet tidspunkt går ut, så den kan gå ut på dato, så den må fornyes. Så selv om noen leverer et bevis og sier at jeg er sertifisert, se her, så er det lurt å sjekke datoen på sertifiseringen. Også er det også lurt å sjekke firma som har sertifisert. For det skal da i Norge være et akkreditert selskap, sertifiseringsorgan, som kommer inn og sertifiserer. Og de igjen, bare for å si det, de igjen blir kontrollert av norsk akkreditering som har gitt akkrediteringen til sertifiseringsorganene.
Silvija: Jeg har lyst til å fortsette litt på det spørsmålet til Miloš, fordi dette høres også ut som en veldig nyttig og litt utviklende prosess, men også veldig ressurskrevende prosess. Så hvordan kan mindre bedrifter få glede av dette her uten å nødvendigvis ha en hel compliance-avdeling ansatt? Eller hvordan skalerer dette her både oppover og nedover?
Lin: Ja, det er et veldig godt spørsmål, og et spørsmål som vi fikk veldig ofte. DNV og andre sertifiseringsorganer kjører mye kurs, slik at man kan lære seg hvordan vi skal tolke og implementere de ulike standardene, eller den standarden vi har valgt. Også pleide vi å si at jo tettere du klarer å legge kravene opp til sånn som du allerede jobber, jo bedre er det. Alle har en prosedyre for hvordan de skal utføre et stykke arbeid. Alle har et mål om hva de skal nå, og alle må rapportere. Og hvis du klarer å sammensmelte disse arbeidsmetodene dine med de kravene som er i standarden, altså justere arbeidsmetodene etter kravene som er i standarden, så er du ganske godt på vei, og det trenger ikke være så krevende. Men det er krevende å sertifisere noe, det tar lang tid. Det handler om at du både skal ha kjørt arbeidet etter den nye måten å jobbe på et helt år, fordi du skal ha interne revisjoner, og du skal sørge for at alle ansatte har fått den kompetansen de trenger, og prosedyrene skal på en måte fungere. Selve sertifiseringsprosessen tar også litt tid, for det skal jo både sjekkes og intervjues også videre, men til syvende og sist er det verdt det. Fordi at du kanskje da får en ticket to trade, som en standard ofte er en nødvendighet for å gjøre, og du får en checkbox på at ja, vi gjør det riktig, det er ikke bare vi internt som sier det, men det er en tredjepart som også kommer inn og sier det.
Miloš: Jeg må utføre litt for det her, for jeg har hørt at det er veldig mange som steller seg litt skeptiske mot ISO-standarder. Jeg kan ikke huske noen tall, men den vanligste standarden som brukes, slik jeg forstår det, er at det er veldig mange ulike type krav som varierer med ulike standarder. Også er det testing, hvor ofte man sjekker compliance med standarder, og den vanligste standarden, slik jeg forstår det, krever egentlig at det bare blir en tilfeldig test. Nå tar jeg sikkert helt feil, men poenget var at det er flere som sier at det er veldig enkelt å bli sertifisert når deler en eller to av disse, så ikke tenk med en gang du ser, ISO-sertifisert. Det egentlig betyr at de har alt perfekt. Jeg vet ikke om det er egentlig noe som stemmer, eller bare noe som jeg har snakket over kaffe, eller noe sånt.
Lin: Det er nok både og i forhold til oppfattelsen av hvor mye en ISO-standard hjelper. Når man har jobbet etter en måte å jobbe på som standarden har beskrevet, enten fordi det er veldig spesifikt, eller fordi det er en veiledende måte, så kommer man inn i en rytme. Hvis man forholder seg til et sertifiseringsorgan i tillegg, så er man i varetatt. Du skal da få en resertifisering etter X antall år, avhengig av hvilken standard det gjelder. Du er da inne i en systematikk som gjør at du både kan sørge for at de interne prosessene blir justert. For eksempel hvis du får avvikt, dette her stemmer ikke, du sier du har gitt opplæring til så mange, men så har du egentlig bare gitt til halvparten, så må du gjøre noe med systemene som fanger opp hvorfor har ikke de øvrige halvpartene vært på det kurset. Da kan det være mange årsaker til det, men en rapport fra et sertifiseringsorgan gir deg en god tilstandsrapport som du kan jobbe med frem til neste gang. Det er ikke sånn at nå har du ikke hatt alle på kurs, så da blir du ikke sertifisert. Dette er en løpende dialog underveis med et sertifiseringsorgan.
Silvija: Det viktigste jeg tar med meg fra dette er at mange av oss tenker på dette med sertifisering som en slags marketing greie. Nå er vi sertifiserte på bærekraft, ledelse, så nå kan alle de store jobbe med oss. Veldig ofte har man også disse kravene i anbud. Egentlig burde man tenke på det mer som et utviklingsverktøy og bruke det aktivt på den måten. Vi hadde en veldig fin masterclass med Forbrukertilsynet, hvor de snakket om hvordan denne nye åpenhetsloven som nå kommer med rapporteringskrav 30. juni, er tiltenkt. Og jeg synes det var veldig imponerende hvordan de gjentok ganske mange ganger at man skal være redd for at det er en del feil man har når det gjelder det. Det er veldig mye bedre at man oppdager feil og fikser det, enn at man sier at vi har alt på stell. Jeg håper vi klarer å implementere det juridisk og kommersielt. At det ikke blir sånn at de som er ærlige og opptatt av å utvikle seg, ikke taper kommersielt på det.
Lin: Dette er et veldig godt eksempel på hvordan en ISO-standard, og hvis du følger prosessene som beskrives i ISO-standarden, kan hjelpe deg i forhold til åpenhetsloven. Hvis du er ISO 9001 compliant, eller du følger ISO 9001-standarden, så krever den at du har god oversikt over leverandørene dine, og at du har gode avtaler med leverandørene dine. Du vet hvor de jobber, du vet hva slags arbeidsforhold de har, og du har satt opp gode rutiner og systemer for å sjekke det. Her er det en liten skjult skatt for de som jobber med ISO-standarder, og som jeg også mener i mange tilfeller når vi snakket om bærekraft for eksempel, i standarden for yttermiljø, så har du også en del krav som sier at du må for eksempel ha en kjemikalieoversikt, du må ha oversikt over hvem det er jeg påvirker, og hva blir jeg påvirket av. Også må du ha satt opp systemer og rutiner for å følge opp dette. I ISO-standardene og i måten å jobbe på, så er man i basically compliant med mange av de øvrige kravene som samfunnet putter på deg, blant annet åpenhetsloven.
Silvija: Og som kanskje blir også legalisert da, eller lov forlagt etter hvert, sånn som det er ved utviklingen går. Dere, vi har veldig lite tid igjen og jeg har lyst til å få Miloš til å konkludere til slutt. Vi har snakket relativt lite om informasjonssikkerhet, men det har vi snakket om ellers masse. Jeg har lyst til å leke litt sånn ISO-standard bingo med dere. Det er så mange tall her, og jeg har lyst til at våre studenter skal huske i hvert fall seks av dem. Jeg gir deg tallet Lin, og så skal du bare si veldig kort hva den dreier seg om, hvis du kan det, og hvis ikke så kan jeg jukse litt, for jeg har en juksenapp her. Den første er ISO 27001.
Lin: Det er standarden for informasjonssikkerhet, og det er en overbyggende standard. Når man begynner å dykke inn i informasjonssikkerhetsområdet, så finnes det masse 27000 og et eller annet nummere som dekker informasjonssikkerhetsfelten.
Silvija: Sjekker at du lagrer data forsvarlig, at serveren har du kontroll på, at brukerne blir topp lært og ikke stikker USB-stikker random i systemet, og så videre. ISO 27701.
Lin: Den var litt...
Silvija: Personvern informasjon.
Lin: Ja, det var det, det er riktig.
Silvija: Ok, 17000.
Lin: 17000, det var... ja, der måtte jeg også være blank.
Silvija: Samsvarsstudering, uten at jeg vet hva det betyr en gang.
Lin: Ja, det betyr at du må vurdere om du følger de retningslinjene som er lovpålagt, og om du har rutiner og retninger knyttet til det, om du er i samsvar med det som interessentene krever av deg.
Silvija: Og her kan det bli veldig mange spennende undertall. Du nevnte personvern for smarte byer, og det er da 17... for det samsvarer med kravet til smarte byer. 17570, eller personvern. En annen standardfamilie, de som starter med 9000, eller 9001, det nevnte du.
Lin: Ja, 9001, det er standarden for kvalitet og kvalitetsstyring. Så der finnes det også mange tall innenfor 9001-familien. Og det er en veldig god standard, fordi den sikrer at du har kvalitet i alle ledd, som alle elsker å si vi har kvalitet i alle ledd. Og den standarden er den mest vanlige å bli sertifisert etter, og den sikrer at du har kål på alle dine prosedyrer og rutiner, og at du på den måten når målene dine.
Silvija: Ja, dere, jeg skal bare nevne to til, 37000-familien, det er tydeligvis antikorrupsjon, og 50 000-familien, det er energisystemer. Og jeg tenker at det er noe for enhver smak, og det som er veldig viktig at folk får med seg her, at det er faktisk ganske nyttig beste praksis oppsummert på en sånn prosedural måte, og hvis man bruker det som det, så kan dette være ekstremt opp ryddende for alle bedrifter. Eller?
Miloš: Ja, både ja og nei. Det er selvsagt veldig mange fordeler ved å standardisere ting, ikke sant? Så la oss si kontrakter, det er veldig fint når vi har noen standardiserte kontrakter som jeg bruker på tvers av land når jeg selger varer, men her tenker jeg at hvis man står for mye på disse standardene, så kan det hende at det egentlig ender opp...ja det er litt farlig, for da kan man tenke at ja, jeg er ISO standardisert, og det er tilstrekkelig og det oppfyller alle kravene som stilles under GDPR, for eksempel, og det kan egentlig hende at det ikke stemmer. Og når det gjelder tredjeparteier, jeg tenker ikke noe due diligence, for de er sertifiserte, så det er veldig klart at det er en god type signal, men man må også være veldig forsiktig å ikke gi det mer vekt enn det egentlig burde ha.
Lin: Ja, jeg synes det kan være greit å avslutte med å si at en ISO standard er et veldig godt arbeidsverktøy, og noen ISO standarder, alle ISO standarder er frivillige å etterfølge. I noen bransjer så kreves det at man faktisk har en sertifisering nettopp for denne ticket to trade. Og så synes jeg at Miloš har rett i sin skepsis, man skal være litt skeptisk, for man skal vurdere interessentene sine og man skal vurdere om det er riktig for deg og din virksomhet. Hva vil det gi oss med å være sertifisert for eksempel? Men det er også en god idé, når man har fått oversikt over hvilke risikoområder vi har, og hva er det vi har lyst til å prioritere, vurdere om det er noen områder man bør jobbe mer standardisert etter, for å nettopp kunne både skrive årsrapporter, og kunne si internt i kommunikasjonen sin, og bygge verdisettet sitt og kulturen. Være stolte av det man gjør, og få det som et stempel på at det vi gjør er faktisk bra. Noen kommer tre ganger hvert tredje år og sier at sånn er det, og det kan vi rapportere om til våre andre interessenter.
Silvija: Så et veldig godt utviklingsverktøy, men ikke en sovepute og ikke et fikenblad heller, for man sier at nå er det standardisert så ikke spør om noe annet. Og så tror jeg det er veldig viktig at dette er en kontinuerlig prosess, og at man oppdaterer både sin sertifiseringstilstand, men også seg selv.
Lin: Ja, og jeg vil legge til et siste punkt, og det kan kanskje være noe av der skepsisen fra Miloš kommer fra. Det er ekstremt viktig at det er organisasjonen som jobber med de rammene som ISO-standarden setter. Det skal ikke være en konsulent som kommer inn og gjør jobben, og så går ut igjen. Det må være organisasjonen som omfavner arbeidet og begynner å jobbe etter, for på den måten så får man det internt fra, og ikke bare noen som kommer eksternt og sier ja, vi skal gjøre det sånn og sånn, og legge treer og noe over hodet på deg. Det funker ikke.
Silvija: Dette her er veldig spennende i forhold til hvordan organisasjoner tenker generelt på compliance, og dette snakker vi mer om ellers Miloš. Jeg tror dette her med at det finnes også mange organisasjoner, min erfaring er da spesielt fra finanssektoren, hvor det er så mye compliance at det tuter på alle disse tre nivåer og over alle kanter, men det blir veldig mekanisk. Også er spørsmålet hvordan lever man disse reglene egentlig gjennom hele organisasjonen?
Lin: Et eksempel som jeg har lyst til å avslutte med, det er Choice-kjeden av Petter Stordalen. De skulle ISO 14001 sertifiseres, altså standarden for yttermiljø, og de begynte å jobbe internt i bedriften, lagde nye rutiner, hadde opplæring, de sa ikke et ord om standarden eller 14001 eller noen ting. De fikk en veldig god flyt i hvordan de jobbet og bygget veldig bra kultur rundt det. De skulle være miljøvennlig, de skulle ha fokus på hvordan de vasket sengetøy osv. Når de da ble ISO-sertifisert, så handlet det ikke om å feire at de ble ISO-sertifisert, det handlet om å feire at de hadde nådd de målene de hadde satt seg for yttermiljø. Også sier Petter Stordalen helt til slutt, by the way, vi har blitt ISO 14001-sertifisert opp i alt dette. Så det er ikke den standarden som skal ha hovedfokuset, det er prosessene og det man får til underveis som møter kravene.
Silvija: Supert. Miloš, har du noen avsluttende retningslinjer til de som lytter?
Miloš: Egentlig ikke, jeg er bare 100% enig i alt som ble sagt så jeg tror ikke jeg har noe å legge til her.
Silvija: Ikke noe å endre i hvert fall. Dette her er godkjent.
Miloš: Vi kan sikkert ta en prat på en ISO-standard, ikke sant?
Silvija: Ja, veldig bra. Tusen takk til dere begge to.
Lin: Takk.
Takk for at du lærte med Lørn. Husk at du må registrere deg på lorn.tech for å få personaliserte læringsstier, sertifikater og mye mer.
LØRN AS, c/o MESH,
Tordenskioldsgate 2
0160 Oslo, Norway
Bibliotek
Om LØRN
© 2024 LØRN AS
Du må være Medlem for å dokumentere din læring med å ta quiz
Allerede Medlem? Logg inn her:
Du må være Medlem for å kunne skrive svar på refleksjonsspørsmål
Allerede Medlem? Logg inn her: