A trecut ceva vreme de cînd, o parte din instituţiile publice impun participanţilor la licitaţii să dovedească că deţin 1-2 angajaţi certificaţi ca Auditori/Lead auditori ISO 27001 …Este firesc să impună ce condiţii doresc. Dar, mă întreb, ştiu cu adevărat CE şi CUM?
“The International Register of Certificated Auditors (IRCA) is the world’s original and largest international certification body for auditors of management systems.”
Este organismul ce grupează astfel de auditori la nivel european.
RABQSA International (RABQSA) este organismul similar din Australia şi USA.
“RABQSA’s principal offices are located in Sydney, Australia, Milwaukee, USA and Seoul, Korea with international offices located in Brazil, Cyprus, Japan, Malaysia, New Zealand, Taiwan, Thailand and Turkey, and Seoul Branch offices located in China and Vietnam”
Există recunoaştere mutuală între cele două organisme.
IRCA spune cam aşa:
-
ISMS Provisional Internal Auditor – You should consider this if you intend to perform internal ISMS audits.
-
ISMS Internal Auditor – You should consider this if you perform internal ISMS audits for your organization.
-
ISMS Provisional Auditor – This is the entry or training grade, and you should consider this if you intend to make auditing your career.
-
ISMS Auditor – This grade is a natural progression from the provisional grade and you should apply for regrade (from provisional) as soon as you have completed the required auditing experience.
-
ISMS Lead Auditor – Most ISMS auditors working for certification bodies are Lead Auditors, as are those auditors who perform supplier (second party) audits for large purchasing organizations
-
ISMS Principal Auditor – This grade is designed as an alternative to the Lead Auditor grade and is intended to recognize the considerable experience and competence of two categories of auditors who operate on their own (i.e. as a team of one, performing sole audits);Auditors with a background in information security consulting (whose key competences are implementing information security systems and who possess experience in performing all aspects of the audit process effectively and without assistance); Auditors with a background in leading audit teams (as lead auditors) but who now audit on their own (whose key competences are audit management and team leadership).
Faptul că cineva a promovat un curs nu reprezintă singura condiţie pentru obţinerea unuia din titlurile de mai sus! Detalii…
Putem să verificăm cîţi compatrioţi sînt recunoscuţi internaţional?
Pentru RABQSA
Pentru IRCA
ADRIAN B. MUNTEANU 
Momentan nici COR nu cuprinde meseria de auditor sisteme de management a securităţii informaţiilor În ceea ce priveşte recunoaşterea externă (IRCA), depinde foarte mult de cerinţa pieţei. Chiar am discutat recent cu un auditor acreditat IRCA (pe ISO 9001) şi mi-a spus că nu a avut practic nici un beneficiu pentru această certificare. Din câte ştiu, nici măcar organismele de certificare nu solicită (toate) recunoaştere IRCA (şi aici nu vorbim de SC super organismul de certificare srl, ci inclusiv externe).
Până la urmă, piaţa decide ce certificare solicită. Dacă mâine apare o cerinţă obligatorie din partea cuiva, în 3-4 luni se umple IRCA de auditori români (indiferent de standard).
ApreciazăApreciază
Piaţa e oricum plină de „auditori” 🙂
Poate nu am fost destul de clar.
Pe certificatele obţinute (cele văzute de mine de la cîteva organisme cu pretenţii) scrie „certifies that …..has passed the exam….”.
La acest aspect mă refeream şi la corectitudinea în formă şi fond a calificărilor pentru participarea la licitaţii: dacă se doreşte auditor, atunci să fie auditor, aşa cum este el recunoscut internaţional (deocamdată nu comentez recunoaşterea internaţională/naţională). Dacă se doreşte altceva, atunci să fie altceva, dar scris CORECT!
Aş vrea să văd un certificat emis de oricine din afara pe care scrie că, după ce a trecut cu succes examenul, este „AUDITOR”. La acest aspect mă refer.
ApreciazăApreciază
Hm, am înţeles eu greşit unde baţi. Cred că te înşeli. La cursurile pe care le-am făcut eu „cu recunoaştere CNFPA” pe certificatul de absolvire se spune că „X a participat în perioada P la cursul de specializare cu durata D pentru ocupaţia Auditor în domeniul… COD COR XXXX organizat de SC Fabrica de Auditori SRL, înmatriculat în registrul naţional… şi a promovat examenul de absolvire cu nota 10+” 😀
Deci, formularea este asemănătoare cu cea „de dincolo”.
ApreciazăApreciază
Cristi,
am să fac o paralelă ce îmi este foarte la îndemînă, legată de cerere şi ofertă în România.
Univ. Spiru Haret! A apărut, a existat şi există ca rezultat al cererii şi ofertei. Din punct de vedere economic ei nu au nici o vină şi nu îi blamez. Nici cei care se duc acolo nu sînt vinovaţi. Vinovat este statul care nu ştie să facă „regula jocului”. Statul care este reactiv şi nicidecum proactiv. Întrebarea este: efectele pe termen lung care sînt?
Repet, înţeleg foarte bine lucrurile din punct de vedere economic.
Aici însă discut de profesii şi practica. „Tot ce nu este interzis, este permis”, acesta este principiul valabil acum la noi în piaţă.
Eu îmi doresc „tot ce nu este permis, este interzis”!
Şi ca să revin la formă, chiar dacă poate părea doar un amănunt..Dar amănuntele fac diferenţa….Pe diploma mea de licenţă scrie că sînt economist, pe cea de doftor că sînt doftor, pe CISA că „Has succefully met all requirements and is qualified as a Certified Information Systems Auditor” şi sînt menţionate şi „requirements”….
Nu COR spune că trebuie să ai cursul ăla sau celălalt…..
O soluţie ar fi ca toată lumea să lase orgoliile/intersele mărunte deoparte şi să existe o recunoaştere mutuală pe baza unor criterii. Cum şi în ce fel se poate realiza…e mult de discutat….Aşa, acum, „fiecare cioară îşi laudă puiul” 🙂
PS: De ce smiley-ul tău e mai zîmbăreţ decît al meu?
ApreciazăApreciază
Ca existe o recunoaştere în baza unor criterii, ar trebui să existe o formă organizată, iar asociativitatea nu a fost niciodată punctul forte al românilor orice asociaţie/grup/club/whatever ajungând la un moment dat să fie confiscate în beneficiul unui grup minuscul, de cele mai multe ori în defavoarea flagrantă a intereselor breslei.
Ştiu că pentru 9001 există un Registru Naţional al Auditorilor (www.arna.ro), care la un moment dat şi funcţiona şi care, cel puţin în scripte pare să facă ce trebuie.
PS E diferenţa între : ) şi : D
ApreciazăApreciază
Ok, acceptarea in cele 2 registre se face numai pe baza absolvirii cu succes a unui curs accreditat de cele 2 registre, plus ceva taxe, plus ca iti trebe si ceva misiuni „adevarate” duse cu succes la capat (obvius nu din alea cu 490 EUR per bucata) ca sa faci saltul din provisional in full. Din nefericire Cristi, cursul acreditat de CNFPA nu se califica!!! (btw nu in asta rezida si calitatea finala a auditorului ci mai e si o combinatie de alti factori acolo)
ApreciazăApreciază
@coco
Ştiu că nu se califică, nici măcar pentru celelalte standarde, darămite pentru 27001 😀
Dar face parte din formele perpetuate de statul român, mare susţinător de astfel de businessuri (certificare, calificare…).
ApreciazăApreciază
Mulțumesc de completări Coco.
Nu vreau însă să ne îndepărtăm de fondul problemei. Cerința insituțiilor publice o consider îndreptățită. Legal, au dreptul să ceară ce competențe consideră necesare.
Întrebarea rămîne: dacă pe „diplomă/certificat” nu scrie „certificat ca auditor SMSI/ISO27001” sau orice altceva, dar obligatoriu „certificat ca auditor”, acel carton este valabil?
Nu vreau să duc discuția spre ce face statul sau altcineva. Problema este de corectitudine și etică.
Dacă analizăm cu atenție ce scrie pe diplomele emise în România vom observa că sînt așa de bine scrise încît nu rezultă că absolventul cursului este și auditor!
De ce trebui perpetuate astfel de practici? Doar din foamea de bani? Și cînd lucrurile vor ajunge sub limita derizoriului, ce se va întîmpla?
ApreciazăApreciază
In fine, cum ati zis, treaba e mult mai complexa; eu am in minte un model de cum ar trebui gestionat aceste lucruri dar din pacate nu prea merge in RO; culmea e ca protectia la aceste lucruri este incorporata in ISO itself. CNFPA, daca se doreau niste baieti tare in baston trebuiau sa faca ISO17024 (nu sunt multe pravalii care pot da asta!!), alte organisme de acreditare trebuiau sa respecte ISO17021 si implicit pentru personal ISO 19011. Si se curata treaba
ApreciazăApreciază
Ce scrie pe un certificat de la BSI?
În primul rînd „Certificate of training”.
În al doilea rînd că este valabil 3 ani pentru a te înscrie ca AUDITOR la IRCA. …
Mă opresc aici…..Nu de alta dar ajung să îi dau dreptate lui Vanghelie…..nu am învăţat nimic……
ApreciazăApreciază
Da bre, admit, eu m-am descris „provisional” aparent fara drept!! Chiar am vrut sa ma marchez banul la RABQSA dar m-a oprit mentorul ca mi-a zis el ca ma invata cum sa fac treaba asta pe gratis. Si de aia nu apar acolo.. guilty, ca il astept sa vb in Martie. Obvious, o sa tin pentru mine!!
ApreciazăApreciază